Revista Ciencia

Hemos estado usando passwords inseguros todo este tiempo

Publicado el 12 agosto 2017 por Jesús Jiménez @zonageeknet
Hemos estado usando passwords inseguros todo este tiempo

La misma persona que nos obligó a construir esos complicados passwords de letras, símbolos y números, se ha retractado: No es necesaria tanta parafernalia.

Tu password debe tener una mayúscula, una minúscula, un número, un símbolo, la sangre de una virgen, un jeroglífico y el jugo de bayas azules recogidas bajo la luna azul del primer solsticio del siglo. Ok, no tan exagerado, pero si se nos ha enseñado que, para que un passsword sea seguro, debemos construirlo con símbolos, letras y números. Además de todo este embrollo, se nos pide cambiarlo regularmente. Esto resulta en un dolor de cabeza cuando queremos recordar cual es el password actual, sobre todo si tenemos varios servicios y cada uno tiene una contraseña distinta.

Esto ha derivado en uno de dos comportamientos más frecuentes: O colocas el mismo password y le cambias un número (ejemplo: Password!1, Password!2, etc.) o terminas usando gestores de contraseñas, que, aunque tienen bastantes opciones que mantienen tus cuentas seguras, siguen siendo un solo punto de apoyo en la torre de tu vida digital, pues si alguien consigue ese password, o hackean el servicio de gestión de contraseñas, entra a todos tus servicios sin restricción.

Para hacer más seguras las cuentas, los proveedores de servicios han implementado medidas como la autenticación de dos pasos, que te pide un token para poder ingresar, por lo que, si no lo tienen, no importa si conocen tu password, igual no podrán entrar.

Ahora, la persona responsable de que tengamos este dolor de cabeza de passwords en cada servicio y que debamos cambiarlos cada tanto tiempo, ha hecho una confesión: Ha estado equivocado todo el tiempo. Estas medidas no hacen más seguras las contraseñas.

Las reglas que seguimos en realidad hace que los passwords sean fáciles de hackear

Bill Burr fue el autor de las odiosas reglas de complejidad de los passwords, publicadas por primera vez en el 2003. A sus 72 años, ha confesado al Wall Street Journal que estas reglas ocasionaban que las personas hicieran cambios predecibles en sus contraseñas, para poder recordarlas fácilmente. Esto les facilita el trabajo a los ciberdelincuentes, pues todo lo que deben hacer es esperar pacientemente.

Aunque una contraseña de 8 caracteres puede tardarse unos 4 meses en ser descifrada y las reglas indican que debes cambiarla cada tres meses, el hecho de usar los mismos patrones, hace que la nueva contraseña sea fácil de adivinar conociendo la primera. Un patrón como Password!1, Password!2, etc., no es tan difícil de adivinar, y las permutas, aunque parezca complejo, para un buen procesador con buena potencia, no es tan complicado.

Ahora, el Instituto Nacional de Estándares y Tecnología ha establecido un nuevo estándar que, no solo nos quitará los dolores de cabeza de recordar una mezcolanza de caracteres especiales, números y letras, sino que no tendremos que cambiarlo tan a menudo.

Un password seguro y fácil de recordar.

Las nuevas reglas pasan de cambiar las contraseñas cada tanto tiempo. Según reza el nuevo estándar, solo debes cambiar tu contraseña si hay indicios de que ha caído en manos equivocadas. Aquí entra en juego la autenticación de dos pasos, pues si alguien se hace con tu contraseña y no tienes este método activado, es bastante posible que cuando te des cuenta de que alguien tiene tu contraseña ya sea demasiado tarde.

El otro cambio importante que sufren estas odiosas reglas es que ahora los passwords deben ser frases largas y fáciles de recordar. Esto hará que, por ejemplo, una contraseña como "Mi buen amigo Charlie" o "Querida, encogí a los niños" le tome cientos de años a cualquier sistema de fuerza bruta en averiguarlo. Y si usando complejos ataques de diccionario personalizados con un perfil estudiado de la víctima acelerara este proceso, todo lo que tendríamos que hacer sería cambiarlo por algo como "Mi lugar favorito es el salto ángel" y los ciberdelincuentes tendrían que empezar desde cero.

En definitiva, crear frases fáciles de recordar y el hecho de no tener que cambiar el password periódicamente debería ayudarnos a no olvidar tanto el password y a que los ciberdelincuentes les cueste más trabajo adivinarlo. Seguramente muchos centros de soporte estarán agradecidos con este cambio. ¿Qué te parece? ¿Actualizarás ya tu contraseña para cumplir con la nueva norma?

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: The Wall Street Journal


Volver a la Portada de Logo Paperblog

Revistas