Sean Deuby

Tras las recomendaciones actualizadas sobre contraseñas de Microsoft, el Instituto Nacional de Estándares y Tecnología (NIST) ha publicado sus propias directrices actualizadas sobre contraseñas. Estas recomendaciones son paralelas a muchas de las de Microsoft, lo que les confiere mayor credibilidad; en algunos aspectos van más allá. Cuando dos grandes influyentes del sector de la seguridad llegan de forma independiente a conclusiones tan similares, es una señal clara de que las empresas deberían revisar a fondo sus políticas de contraseñas, tanto para sus sistemas internos como para los servicios externos que tienen un almacén de identidades.

Por qué es importante el documento del NIST

¿Qué es esta nueva publicación del NIST? El documento SP 800-63-3 se titula "Digital Authentication Guideline" (Directrices sobre autenticación digital) y define los requisitos para satisfacer cuatro niveles de garantía (LOA, por sus siglas en inglés: el grado de certeza de que una entidad es lo que dice ser o quien dice ser). Uno de los documentos, SP 600-63-3B, se titula "Authentication & Lifecycle Management" (Autenticación y gestión del ciclo de vida) y se centra en la orientación sobre contraseñas.

¿Por qué es tan importante este documento? Una de las muchas funciones del NIST es proporcionar directrices para el sector público, es decir, para todas las aplicaciones del gobierno federal. Muchas de las directrices son sólo recomendaciones, pero otras son requisitos que deben cumplir todas las aplicaciones. Se trata de una influencia de gran alcance, pero aún mayor, porque muchas otras industrias y empresas siguen estas directrices.

Veamos las recomendaciones del NIST, cómo se comparan con las de Microsoft y dónde va más allá el NIST. Un tema común en ambos conjuntos de recomendaciones es una mayor facilidad de uso, especialmente cuando las recomendaciones mejoran la seguridad o cuando las políticas existentes no la mejoran. La investigación ha demostrado que cuanto más estrictas sean las políticas de contraseñas, mayor será la probabilidad de que los usuarios hagan trampas o utilicen un método predecible (1, 2, etc.) que sea fácil de piratear.

El NIST recomienda utilizar frases de contraseña fáciles de recordar

El NIST exige ahora un mínimo de 8 caracteres, lo cual no es radical, pero también exige ahora un máximo superior a 64 caracteres para fomentar las frases de contraseña. Este es uno de los temas del documento: fortalecer los sistemas para que puedan manejar contraseñas más fuertes de una manera que sea más fácil de recordar para el usuario. En otras palabras, poner la carga en los sistemas, no en los usuarios. Junto con Microsoft, también recomiendan un diccionario de contraseñas comunes que pueda utilizarse para no permitir contraseñas débiles (por ejemplo, "passw0rd!") cuando el usuario intente establecerlas.

Otro requisito que nos alegrará a todos es permitir espacios, todos los caracteres ASCII e incluso, potencialmente, caracteres Unicode (como emoji) en las contraseñas. ¿Te imaginas utilizar emoji en tus contraseñas? Alguien tendrá que enseñarme algunos atajos de teclado antes de que lo intente. Los espacios pueden causar problemas porque es difícil distinguir uno o dos espacios, pero esto se facilita un poco con otra nueva recomendación de que el usuario pueda mostrar la contraseña que ha introducido siempre y cuando vuelva a ocultarse transcurrido cierto tiempo. Hemos visto que esta posibilidad se está generalizando, y me alegro de que así sea.

Dejar de caducar contraseñas

Tanto Microsoft como el NIST se ocupan de la caducidad de las contraseñas, y ambos recomiendan que éstas no caduquen arbitrariamente después de un cierto intervalo, a menos que haya pruebas de compromiso. A diferencia de los sistemas de identidad locales, como Active Directory, la mayoría de los sitios web siempre han seguido esta norma. Sin embargo, no les estoy dando crédito por ser previsores en sus políticas de contraseñas; simplemente no querían las molestias que la caducidad de las contraseñas causaría a sus mesas de ayuda y a sus clientes.

El NIST rechaza la autenticación basada en el conocimiento (hints ) que pueda ser descubierta, o forzada bruta, por un atacante. Admitámoslo, la mayoría de los malos ya se saben el apellido de soltera de tu madre. También recomiendan no utilizar reglas de composición porque es demasiado difícil para el usuario y no proporcionan tanta seguridad como se pensaba en un principio.

Es hora de dejar atrás los SMS

Un gran cambio, que ha suscitado muchos comentarios, es la desaprobación ("no vamos a rechazarla todavía, pero no vamos a potenciarla más") del uso de SMS como segundo factor de autenticación. Y rechaza de plano el uso de un número de VoIP (por ejemplo, Google Voice) para la autenticación por SMS porque en realidad no es un segundo factor: no es algo que tengas. Su preocupación sobre los SMS en general es que el servicio no es tan seguro como debería porque no se diseñó para este tipo de uso. Los delincuentes han ideado programas maliciosos que pueden redirigir los mensajes SMS, y el intercambio de SIM permite a un delincuente secuestrar los mensajes de un usuario.

Desgraciadamente, si usted pertenece a un sector que debe seguir políticas de cumplimiento, como la HIPAA, no puede limitarse a aplicar estas nuevas recomendaciones cuando no coinciden con las políticas. Hay que esperar, posiblemente años, hasta que las políticas se pongan al día con las recomendaciones.

¿Está en desacuerdo con alguna de estas nuevas directrices? Se trata de un borrador de la especificación, y el NIST anima encarecidamente a participar y aportar comentarios en Github.