A todos nos atormenta el continuo cambios de passwords en los bancos y otros portales. La verdad es que es imposible recordar cambios mensuales en tantas aplicaciones, al final terminamos creando passwords iguales sólo cambiando el mes o el día.
Ahora resulta que uno de los principales responsables de esa pesadilla, reconoce que se equivocó.
Dice que realmente cambiar un password frecuentemente no mejora la seguridad. Ahora recomienda el uso de frases.
Esperemos que eso llegue a los responsables de la seguridad en los portales que usamos.
A continuación la nota tomada de genbeta.com
genbeta.com – 08/08/2017 – Cambiar constantemente de password y usar caracteres especiales no mejora la seguridad
15 años después, el primer promotor del cambio constante de contraseñas y el uso de caracteres especiales ha cambiado completamente de opinión. Después de todo, en el caso de las contraseñas, el tamaño sí es lo más importante.
Bill Burr fue el hombre que escribió el documento sobre gestión de contraseñas que extendió la creencia de que usar una combinación de caracteres especiales, números y letras para crear palabras como “Pa55word!1” era la práctica más segura. Ahora está arrepentido de haber aconsejado eso.
En aquel entonces Burr trabajaba en el Instituto Nacional de Normas y Tecnología de los Estados Unidos. El documento que creó se convirtió básicamente en la guía de agencias federales, universidades y empresas a la hora de seguir ciertas reglas para crear contraseñas.
Burr recomendaba cosas como cambiar el password cada 90 días, y combinar números, letras, símbolos, mayúsculas y minúsculas. Ahora que está retirado y tiene 72 años, dice que ninguna de esas reglas mantienen fuera a los hackers.
En el caso de cambiar constantemente de contraseña, la mayoría de la gente hace cambios simlpes que son fáciles de adivinar, simplemente porque serán fáciles de recordar. Cambiar de algo como Pa55word!1 a Pa55word!2 es prácticamente inútil.
Entonces, ¿qué se recomienda ahora?
El documento que escribiera Burr ha sido revisado y reescrito casi completamente desde cero. La recomendación de cambiar de contraseña constantemente y el requerimiento de caracteres especiales han sido tirados a la basura. Estas reglas tienen en realidad un impacto negativo en la usabilidad, principalmente porque la gente se olvida de la nueva contraseña.
Lo ideal es crear frases largas y fáciles de recordar en lugar de una combinación loca de caracteres. Y, solo debes cambiar tu contraseña si hay indicios de que ha sido robada. Por ejemplo, si quien te ofrece determinado servicio anuncia alguna fuga de datos, o te enteras de que tu email o alguna cuenta online han sido comprometidos.
Se ha enseñado incorrectamente a la gente a crear contraseñas que son difíciles de recordar para un humano, pero fáciles de adivinar para un ordenador.
El consenso parece ser que utilizar una serie de cuatro palabras puede ser más difícil de descifrar que usar una sola palabra creada con un montón de símbolos, números y letras. Mientras más larga es la contraseña, más difícil es de romper, sin importar que sea una frase simple.