El Instituto de Tecnología y Estándares norteamericano (NIST) determinó en 2003 las conocidas como ‘reglas de oro’ para generar contraseñas seguras, pero su creador, el investigador Bill Burr, desmintió recientemente su verdadera utilidad y las deja en entredicho.
Según el estándar, una contraseña debe alcanzar una determinada longitud, combinar caracteres alfanúmericos, símbolos, mayúsculas y minúsculas. El objetivo final de este patrón es evitar que la gente use contraseñas fácilmente predecibles para los cibercriminales.
Estas reglas bienintencionadas han dado lugar también, como apuntan desde G DATA, a contraseñas como ‘P@$$w0rd’ que, a las pocas semanas son reemplazadas por ‘P@$$w0rd2’, después por ‘P@$$w0rd3’ y así sucesivamente. Si bien cumplen con todos los requisitos, desde el punto de vista de un atacante, sin embargo, son muy fáciles de romper usando un ‘software’ especializado.
Las últimas recomendaciones del NIST para la creación de claves robustas apuestan por frases largas que se puedan memorizar. Tratan de hacer de las contraseñas imposibles de memorizar una cosa del pasado.
Ante el cambio en la recomendación del NIST para crear una contraseña segura, desde G DATA explican que aquellos que están acostumbrados y se sienten cómodos con las ‘tradicionales’ contraseñas complejas pueden mantener sus patrones de creación de ‘passwords’ sin necesidad de modificar sus hábitos al respecto, pero ya no será necesario cambiarlas regularmente si no hay motivo evidente para ello.
Para todos los demás, las opciones se multiplican: es posible usar frases completas, incluyendo espacios en blanco y caracteres especiales. Pero aunque las tradicionales reglas estén en entredicho, la contraseña debe seguir siendo difícil de adivinar y, si se apuesta por una frase, es conveniente que sea larga, como recomiendan desde la compañía de seguridad.
La longitud sigue siendo uno de los factores que definen la fortaleza de una contraseña y dicha longitud no debe ser nunca inferior a ocho caracteres. Sin embargo, la mejor garantía es apostar por el doble factor, como afirma Tim Berghoff, experto en ciberseguridad de G DATA.
Los cumpleaños, las célebres ‘123456’, ‘password’, ‘abcdef’ o ‘qwertyuiop’ siguen siendo un mala opción como contraseña. G DATA también avisa de que la regla de no volver a usar la misma clave para múltiples propósitos (por ejemplo, correo electrónico, plataformas sociales, tiendas online…) sigue en vigor.
En consecuencia, cada servicio debe tener su propia contraseña y, si es posible, activar un segundo método de autenticación. Un administrador de contraseñas puede ser una herramienta muy útil.
De forma resumida, G DATA aconseja que las contraseñas robustas sean una frase con sentido o combinación aleatoria, pero suficientemente larga; siempre que sea posible, el usuario debe activar la autenticación de doble factor, y usar una contraseña distinta para cada servicio. Incluso se puede recurrir a un administrador de contraseñas.
Con información de El Economista