El Instituto Nacional de Estándares y Tecnología (NIST) ha actualizado sus pautas de contraseñas de acuerdo con una nueva investigación. El gobierno de los Estados Unidos requiere que sus agencias sigan estas pautas, y muchas otras organizaciones también se beneficiarían de implementar estas reglas.
Estas prácticas representan un estándar razonable y le ayudarán a mantener segura la información confidencial y a protegerla contra infracciones.1
El NIST es una agencia federal que promueve a los Estados Unidos. innovación e industria mediante el avance de la infraestructura de seguridad de la tecnología y la información de la nación.2 Seguir estas pautas actualizadas puede ayudarlo a mejorar sus prácticas de seguridad de contraseñas y aumentar la eficiencia del personal. A continuación, le mostraremos las prácticas recomendadas de las nuevas directrices y cómo cumplirlas.
Aumentar la longitud de la contraseña
La longitud es un componente crítico de las contraseñas seguras. Las contraseñas más largas son estadísticamente menos propensas a ser descifradas. Debido a esto, el NIST ahora requiere una longitud mínima de ocho caracteres para las contraseñas generadas por el usuario y seis caracteres para las generadas por una máquina. Para garantizar una mayor seguridad para cuentas más confidenciales, NIST dice que debe establecer la longitud máxima de la contraseña en 64 caracteres.3
Permitir caracteres y espacios especiales
Otra forma de aumentar los niveles de seguridad es permitir el uso de caracteres especiales en las contraseñas. El NIST ahora requiere que los sistemas permitan contraseñas que contengan caracteres especiales, incluso emojis y espacios. Las nuevas directrices prohíben la secuencial (ex: 1234) o repetir (ej: aaaa) caracteres y palabras de diccionario.3
Permitir a los usuarios pegar texto
Las directrices fomentan el uso de sistemas automatizados para mayor seguridad. Los campos de contraseña ahora deben permitir a los usuarios pegar texto mediante la función copiar y pegar de un dispositivo. Esto brinda a los usuarios la oportunidad de usar administradores de contraseñas, lo que puede aumentar en gran medida la seguridad.
Las contraseñas almacenadas también deben ser hash y saladas (medidas de seguridad similares al cifrado). Se trata de medidas de seguridad que ayudan a proteger las contraseñas almacenadas. Si se pone en práctica, los hackers no podrán leer los datos de su contraseña, incluso si logran robarla.3
Sugerencias de contraseñas ilegales
Las sugerencias de contraseñas son un ejemplo de una medida de seguridad añadida que puede socavar la seguridad de las contraseñas. Es muy común que los usuarios establezcan sugerencias que faciliten la determinación de la contraseña. Esto frustra el propósito de tener una contraseña en primer lugar.
Para evitar esto, el NIST ha prohibido por completo el uso de sugerencias de contraseñas. Preguntas de autenticación basada en el conocimiento (KBA) como «¿En qué calle creciste?»tampoco están permitidos. Las respuestas a estas son demasiado fáciles de encontrar en Internet, y pueden conducir fácilmente a una brecha.3
Eliminar los requisitos de cambio periódico de contraseña
Estudios recientes han demostrado que las políticas de la empresa que requieren cambios frecuentes de contraseña son contraproducentes para una buena seguridad de contraseñas. El NIST recomienda eliminar este requisito, que debería aumentar la usabilidad y hacer que la seguridad de las contraseñas sea más fácil de usar.
Muchas industrias han tenido un estándar de cambio de contraseña frecuente en su lugar durante años, por lo que puede tomar algún tiempo antes de que este nuevo estándar se observe comúnmente. Pero para aquellos que encontraron que el estándar anterior era innecesario, esto puede ser un cambio bienvenido.1
Reducir la complejidad
El NIST recomienda minimizar los requisitos de complejidad de las contraseñas, como la inclusión necesaria de letras mayúsculas, símbolos y números. Al igual que con las políticas de cambio de contraseñas frecuentes, estos requisitos pueden dar lugar a contraseñas que disminuyen la usabilidad y obstaculizan la eficiencia de los empleados. Reducir la complejidad de las contraseñas puede ser otro gran paso en el camino hacia mejores prácticas de seguridad que los empleados encuentran más fáciles de administrar.1
Coteja las contraseñas nuevas con las contraseñas comúnmente utilizadas o comprometidas
Una práctica de seguridad común es cotejar las contraseñas de sus usuarios con listas de contraseñas comúnmente guardadas y contraseñas conocidas comprometidas. El NIST recomienda que utilice un software que pueda verificar las contraseñas propuestas con las contraseñas que se hayan guardado o expuesto anteriormente. Esto protegerá contra la práctica de hacking de probar contraseñas conocidas en nuevos ajustes.1
- Nuevas directrices sobre contraseñas del gobierno federal de los Estados Unidos a través de NIST
- Publicación Especial del NIST 800-63B
- Las nuevas Directrices del NIST
¡Compartir es cuidar!