Olvídese de todo lo que sabía sobre contraseñas seguras: NIST reescribe los estándares

El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), que establece estándares en el ámbito de tecnologías para organismos estatales y empresas privadas, ha propuesto revisar una serie de reglas obsoletas e ineficaces relacionadas con contraseñas. Estas incluyen el cambio periódico obligatorio de la contraseña, los requisitos para su composición y el uso de preguntas de control.

La elección y almacenamiento de contraseñas seguras es una de las tareas más difíciles en ciberseguridad. Sin embargo, muchas reglas que formalmente deberían aumentar el nivel de seguridad, en realidad lo reducen. Recientemente, NIST publicó un proyecto actualizado del estándar SP 800-63-4 , un extenso documento que contiene recomendaciones para la verificación de identidades digitales.

En la nueva versión del estándar, se presta especial atención al sentido común en relación con las contraseñas. Una de las propuestas importantes es eliminar la práctica de cambio forzado regular de contraseñas. Esta práctica se originó en una época en la que las contraseñas eran a menudo simples y fáciles de adivinar. Ahora, si se utilizan contraseñas largas y generadas al azar, el cambio frecuente reduce su eficacia, obligando a los usuarios a crear combinaciones más simples para recordarlas.

Otra medida obsoleta es el requisito de incluir diferentes tipos de caracteres en la contraseña: números, caracteres especiales, letras minúsculas y mayúsculas. NIST considera que, si la contraseña es lo suficientemente larga y aleatoria, tales requisitos no son útiles y pueden incluso debilitar la protección.

El nuevo proyecto de NIST establece lo siguiente:

• Los verificadores y los proveedores de servicios de certificación (CSP) no deben introducir reglas adicionales para la composición de contraseñas (por ejemplo, una combinación de diferentes tipos de caracteres).
• Los verificadores y los CSP no deben requerir un cambio periódico de contraseñas, excepto en casos de compromiso confirmado.

Otras recomendaciones de NIST incluyen:

• Las contraseñas deben contener un mínimo de 8 caracteres, pero preferiblemente no menos de 15.
• La longitud máxima de la contraseña debe ser de al menos 64 caracteres.
• Las contraseñas deben aceptar cualquier carácter ASCII y espacio, así como caracteres Unicode.
• No se permite el almacenamiento de sugerencias de contraseñas accesibles para usuarios no autorizados.
• No deben utilizarse preguntas de control (por ejemplo, "¿Nombre de la primera mascota?") para la autenticación.

Varios expertos han señalado durante mucho tiempo el impacto negativo en la seguridad de muchos requisitos comunes de contraseñas. Sin embargo, bancos, servicios en línea y agencias gubernamentales continúan utilizándolos. Si los nuevos estándares de NIST entran en vigor, no serán obligatorios para todos, pero podrían influir en cambios de enfoque en la creación de contraseñas en el futuro.

Además, NIST invita a todas las partes interesadas a enviar sus comentarios, observaciones o sugerencias al correo electrónico « dig-comments@nist.gov » hasta el 7 de octubre, a las 23:59, hora del este de EE.UU.