Algunas de las convicciones más extendidas y consolidadas acerca de la seguridad de las contraseñas se remontan a la década de los 80s, cuando el Instituto Nacional de Estándares y Tecnología de EEUU estableció una serie de pautas para la creación de contraseñas seguras para redes de área local. A día de hoy, el NIST dedica sus esfuerzos a centrar la atención de EEUU más allá de la contraseña. En palabras de su asesora en jefe de seguridad cibernética, Donna Dodson: “Hacer recaer la carga de la seguridad en el usuario final y centrarse en aumentar la complejidad sencillamente no funciona”, recuerda, añadiendo: “la seguridad debe ser usable para el usuario final, de lo contrario optará por dar rodeos”.
Estas declaraciones las recoge la web de la revista Wired en un artículo con un título que, seguro, bastante chocante para muchos: “Resulta que las contraseñas complejas no son mucho más seguras“. Y es que podemos optar por contraseñas con un gran número de caracteres, que mezcle letras en mayúsculas y minúsculas, y éstas con números y caracteres especiales. Pero tanto si hacemos eso como si optamos por el tradicional “password”, nos recuerda Wired, no estaremos a salvo ante casos como el del robo de más de mil millones de contraseñas a manos de hackers rusos que desveló recientemente Hold Security.
Wired menciona también la investigación desarrollada por Cormac Herley (investigador principal del Departamento de Aprendizaje Automático de Microsoft Research) y la Universidad de Carleton de Ottawa, que llegó a una conclusión clara: el modo en que tradicionalmente medimos la seguridad de las contraseñas en incoherente, pues nada dice sobre la facilidad o dificultad para adivinarla. Así, algunas contraseñas que cumplen con las normas básicas (más de 8 caracteres, uso de símbolos, etc, etc) como “P @ sw0rd” son herramientas que software de crackeo como JohnTheRipper puede reventar en poco minutos. El problema reside en que dichas normas no nos llevan a apostar por la aleatoriedad, sino a ser más previsibles (en muchos casos, como único modo de recordar tan complejas contraseñas). Retomando la idea expresada antes por Donna Dodson sobre la seguridad usable, Cormac Herley reivindicaba que “cuando las voces que abogan por la usabilidad están ausentes, las medidas de seguridad se vuelven innecesariamente restrictivas”.
Por ello, es una buena idea dejar de aumentar la complejidad de nuestras contraseñas y apostar, en cambio, por proteger nuestras cuentas con sistemas complementarios como la verificación en dos pasos, que nos obliga a usar la contraseña conjuntamente con un código llegado por SMS, o con un número aleatoria generado en tiempo real por algún software (frecuentemente una app móvil).
Igualmente, los administradores de sistemas deberían dedicar más tiempo a preservar la seguridad de las máquinas que almacenan dichas contraseñas. Posiblemente el caso mencionado antes del robo masivo de contraseñas por parte de crackers rusos sea un buen ejemplo: de nada sirve tener contraseñas kilométricas y complejas si luego van a guardarse en forma de texto plano en algún remoto servidor de Internet. Por ello, siempre es bueno tener a mano -en caso de ser usuario de Chrome- extensiones como PasswordFail, que nos avisa de qué webs adolecen de este agujero de seguridad.
Imagen | CarbonNYC via photopin cc
from TICbeat http://ift.tt/1sMXtcS
