¿Hemos descifrado finalmente el código de seguridad de contraseñas?
A actualización reciente a la contraseña mejores practicas del Instituto Nacional de Estándares y Tecnología reveló que las credenciales de inicio de sesión más largas efectivamente aumentan la seguridad de la cuenta más que las más cortas y complejas, pero no es tan bueno como parece.
Históricamente, los sitios han requerido contraseñas complicadas con una combinación de caracteres alfanuméricos y símbolos.
Aún así, el NIST descubrió que “el beneficio de tales reglas es menos significativo de lo que se pensaba inicialmente” y supone una carga “severa” para la memoria de los usuarios.
“Los seres humanos tienen una capacidad limitada para memorizar secretos complejos y arbitrarios, por lo que a menudo eligen contraseñas que pueden adivinarse fácilmente”, escribió el NIST en el informe, añadiendo que, a cambio, “los servicios en línea han introducido reglas para aumentar la complejidad de estos secretos”. contraseñas”.
Esas reglas pueden frustrar a los usuarios y, como resultado, “a menudo evitan estas restricciones de manera contraproducente” mediante el uso de contraseñas fáciles de adivinar que podrían hacerlos vulnerables a los ataques.
En lugar de hacer que los usuarios recuerden una mezcla de letras, números y símbolos, la longitud, dijo la organización, “es un factor principal para caracterizar la seguridad de la contraseña”.
Según la agencia, las contraseñas de 64 caracteres brindan la máxima seguridad a la cuenta, siendo ocho caracteres el mínimo.
Además, el NIST desaconsejó los cambios arbitrarios de contraseñas, diciendo que las contraseñas se pueden dejar sin cambios a menos que haya evidencia de una violación de seguridad.
La organización también alentó a los usuarios a utilizar un administrador de contraseñas e implementar la autenticación de dos factores cuando sea posible, ya que las contraseñas seguras no son suficientes para frustrar a los atacantes maliciosos.
“Muchos ataques asociados con el uso de contraseñas no se ven afectados por la complejidad y longitud de la contraseña”, escribió el NIST.
“Los ataques de registro de pulsaciones de teclas, phishing y ingeniería social son igualmente efectivos en contraseñas largas y complejas que en contraseñas simples”.