El Instituto Nacional de Estándares y Tecnología (NIST) ha propuesto actualizaciones a sus Directrices de Identidad Digital, que establecen estándares para la autenticación en línea utilizadas por agencias gubernamentales y empresas privadas. Los nuevos directivos cuestionan las reglas comunes de contraseñas, como los reemplazos obligatorios y las restricciones de caracteres, argumentando que pueden debilitar realmente la seguridad. En su lugar, NIST recomienda contraseñas más largas y generadas al azar, y desaconseja el uso de preguntas de seguridad para recuperar contraseñas.
El Instituto Nacional de Estándares y Tecnología (NIST), un cuerpo federal responsable de establecer estándares tecnológicos, ha propuesto eliminar ciertas exigencias de contraseñas que se han considerado durante mucho tiempo sin sentido. Estas incluyen el reseteo obligatorio de contraseñas, la exigencia de utilizar caracteres específicos y el uso de preguntas de seguridad para verificar la identidad. Elige fuertes contraseñas y almacénalas de manera segura es uno de los aspectos más desafiantes de mantener buenas prácticas de ciberseguridad. Sin embargo, muchas organizaciones imponen reglas que supuestamente mejoran la seguridad pero en realidad lo subestiman.
En un esfuerzo por aplicar sentido común a las políticas de contraseñas, el NIST ha lanzado una nueva versión de sus Directrices de Identidad Digital (SP 800-63-4). Este documento establece tanto los requisitos técnicos como las mejores prácticas recomendadas para verificar identidades digitales en línea. Las organizaciones que interactúan con el gobierno federal están obligadas a cumplir con estas directrices.
Un cambio clave en las nuevas directrices es la eliminación de la exigencia de cambiar periódicamente las contraseñas. Hace décadas, cuando la seguridad de las contraseñas no estaba bien entendida, era común que las personas eligieran palabras fáciles de adivinar o nombres como sus contraseñas. Para combatir esto, muchos servicios comenzaron a requerir el cambio periódico de contraseñas. Sin embargo, investigaciones han demostrado que forzar a los usuarios a cambiar sus contraseñas puede disminuir la seguridad si lleva a elegir contraseñas más débiles y fáciles de recordar.
Otra regla que es a menudo más perjudicial que beneficiosa es la exigencia de utilizar caracteres específicos en una contraseña, como números o símbolos especiales. Cuando las contraseñas son largas y aleatorias, no hay beneficio para requerir ciertos tipos de caracteres. Esta regla puede incluso llevar a crear menos seguras identificaciones.
Las últimas directrices del NIST establecen que los verificadores y proveedores de servicios de credenciales (CSP) no deben imponer otras reglas de composición para contraseñas, como requerir una mezcla de diferentes tipos de caracteres. También no pueden exigir a los usuarios que cambien sus contraseñas periódicamente a menos que haya evidencia de compromiso.
Los críticos han señalado durante mucho tiempo los problemas con muchas políticas comunes de contraseñas, pero las bancos, servicios en línea y agencias gubernamentales han continuado a aplicarlas. Las nuevas directrices podrían proporcionar argumentos persuasivos para abandonar estas prácticas obsoletas si se finalizan.
El Instituto Nacional de Estándares y Tecnología (NIST) ha propuesto nuevas directrices para contraseñas que buscan eliminar prácticas de seguridad obsoletas y potencialmente perjudiciales. Si estas directrices se concretan, prohibirían las restituciones forzadas de contraseñas, las restricciones sobre tipos de caracteres y el uso de preguntas de seguridad para recuperar contraseñas. El NIST recomienda una longitud mínima de contraseñas de ocho caracteres, con un estímulo para 15 caracteres o más. También aboga por aceptar todos los caracteres ASCII impresos y Unicode en contraseñas. Los cambios propuestos priorizan contraseñas fuertes y generadas aleatoriamente sobre las complejas pero potencialmente más débiles que se dictaminan según reglas obsoletas.
Leave a Reply