Llevamos años actualizando periódicamente nuestras contraseñas con números y símbolos. Resulta que ya no es tan buena idea

Hace bastante que muchas plataformas exigen el uso de contraseñas con una combinación de letras mayúsculas, números y símbolos. Este requisito, que tiene como objetivo mejorar la seguridad de nuestra cuenta, puede perseguirnos. Después de un tiempo es posible que el servicio en cuestión nos avise que nuestra contraseña ha caducado, obligándonos a repetir el proceso periódicamente.

El Instituto Nacional de Estándares y Tecnología (NIST) cree que estas prácticas han quedado obsoletas.

Cuando hablamos del NIST estamos haciendo referencia a una organización estadounidense que emite recomendaciones sobre cómo las empresas y los usuarios podemos proteger nuestras cuentas de la manera más efectiva posible. En primer lugar, veamos algunos de los ítems más relevantes del Borrador Público Inicial de las Directrices de Identidad Digital y después analicémoslos en detalle.

• “Los verificadores y los CSP no deberán imponer otras reglas de composición (por ejemplo, que requieran mezclas de diferentes tipos de caracteres) para las contraseñas”.
• “Los verificadores y los CSP no exigirán a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores deberán forzar un cambio si hay evidencia de compromiso del autenticador”.

La forma en la que nos manejamos por la Web ha cambiado sustancialmente durante los últimos años. Estamos registrados en más servicios que nunca y las contraseñas ya no son el único método de autenticación que existe. De hecho, algunas compañías como Microsoft nos brindan la posibilidad de desactivar nuestra contraseña y otras están implementando las Passkeys como una forma de iniciar sesión.

En este contexto, la necesidad de tener que cambiar periódicamente de contraseña puede llevarnos a crear contraseñas más débiles sencillamente porque serán más fáciles de recordar. Si, en cambio, pudiéramos elegir una contraseña a largo plazo, probablemente elegiríamos una opción más extensa y, por consecuencia más robusta. Esto nos lleva directamente hacia el siguiente punto del NIST.

Los beneficios de una contraseña lo suficientemente larga, como una parte de una canción o un poema, superan a los de las contraseñas cortas con caracteres especiales, letras mayúsculas y números. He aquí uno de los grandes desafíos del modelo que es utilizado por muchas compañías en las actualidad. Un claro ejemplo de esta realidad lo encontramos en el informe anual de Hive Systems, que muestra cuánto tiempo tardaría un atacante en descifrar nuestra contraseña con una GPU.

En la siguiente tabla podemos encontrar cuánto tiempo necesitaría un actor malicioso para «romper» una contraseña utilizando 8 GPU NVIDIA A100.

En términos generales, no existen las contraseñas imbatibles, sino que se trata de poner un nivel de dificultad tan grande que nadie esté dispuesto pagar el precio necesario para descifrarlas. Imagínate tener un rack con GPU valoradas en miles de euros funcionando a toda máquina durante años para romper una contraseña. En todos los casos, como hemos dicho, es de gran importancia contar con sistema de verificación en dos pasos, preferentemente no de mensajes de texto.

Por último, cabe señalar que las compañías privadas no están obligadas a adoptar las pautas del NIST, a menos que sus servicios estén involucrados de alguna manera con el gobierno estadounidense. Sin embargo, esta organización ha sido un respetado punto de referencia en el mundo de la ciberseguridad, por lo que podríamos ver sus recomendaciones en acción en algún momento en una variedad de servicios online.

Imágenes | Freepik

En Xataka | Cómo escoger una contraseña segura (y mantenerla): lo que dicen los expertos

En Xataka | Las passkeys tienen una gran limitación. Pero en Google acaban de ofrecer una solución prometedora