Bill Burr está arrepentido. El responsable de que se haya extendido a nivel mundial la recomendación de utilizar caracteres alfanuméricos y alternar mayúsculas y minúsculas para crear contraseñas seguras considera que se equivocó. Según él, estas reglas “vuelven a la gente loca y, aun así, siguen sin elegir buenas contraseñas”.

14 años de malas contraseñas

En 2003, mientras Burr trabajaba en el National Institute of Standards and Technology, publicó el informe que se convertiría en la referencia para crear contraseñas seguras, el NIST Special Publication 800-63. Appendix A. La guía incluía dos consejos fundamentales. El primero es que las contraseñas debían tener una combinación de caracteres alfanuméricos, mayúsculas y minúsculas, y caracteres especiales. El segundo es que convenía cambiarlas cada 90 días. Desde la publicación de esta guía, las normas estipuladas por Bill Burr se convirtieron en el pilar en el que se basa la creación de contraseñas. Numerosas empresas lo han convertido en una obligación y prohíben a los usuarios utilizar contraseñas que no cumplan estos requisitos. Entonces, ¿qué ha cambiado? ¿Por qué Burr se arrepiente de su labor?

Básicamente, porque los usuarios siguen usando contraseñas inseguras. En aquellos casos en los que no se les exige una contraseña que cumpla con las recomendaciones de Burr y el NIST, los usuarios suelen utilizar contraseñas fáciles de recordar (y también de hackear) como “123456”, “111111” o “password”. Pero el problema va más allá. Aunque se aplique la lógica de Burr y la NIST y convirtamos “password” en “P@ssw0rd!”, sigue siendo una contraseña fácilmente hackeable. Cuando muchos usuarios recurren a esta contraseña, constituye un patrón que pueden aprovechar los cibercriminales para acceder a nuestra cuenta.

La solución: frases compuestas

Burr no ha sido el único que ha reconocido que el método que inventó está obsoleto y es inseguro. El propio NIST ha actualizado su guía de recomendaciones para proteger la identidad digital. En el ámbito de las contraseñas ha dictaminado un nuevo paradigma. Según este organismo, la clave para una contraseña segura pasa por el uso de frases compuestas con palabras que nos resulte sencillo recordar. La imagen que se encuentra a continuación ilustra de manera gráfica el motivo de este cambio.

image: xkcd

La fila superior muestra una contraseña con caracteres alfanuméricos, mayúsculas y caracteres especiales, que podría adivinarse en tres días. La fila inferior demuestra cómo una frase combinando cuatro palabras eleva el tiempo que conllevaría adivinar la contraseña hasta 550 años. En resumen, durante años hemos recurrido a contraseñas que son difíciles de recordar para nosotros pero fáciles de adivinar para las máquinas; ahora lo recomendable es utilizar contraseñas que además de resultar sencillas de memorizar, son mucho más complicadas de descifrar para un cibercriminal.

Tiempo de cambios

Si aún no lo has hecho, ha llegado el momento de revisar la política de contraseñas de tu empresa. Precisamente, uno de los motivos por el que muchos empleados ponen en riesgo la seguridad de la empresa es por elegir contraseñas que les resultan sencillas de recordar pero son vulnerables. Es importante, por tanto, hace hincapié en que este nuevo método combina sencillez y seguridad.

Asimismo, las nuevas directrices del NIST no incluyen la recomendación de cambiar las contraseñas regularmente, ahora abogan por cambiarlas solo en caso de necesidad (tras un incidente de seguridad, por ejemplo). La razón es que los usuarios recurren a la opción más fácil y hacen cambios ínfimos, minimizando el beneficio de cambiar de contraseña . Además, el hecho de tener que insistir e, incluso, obligar a cambiar regularmente de contraseña está contribuyendo a la “fatiga de seguridad” entre los empleados, un problema cada vez más extendido entre todo tipo de empresas.

Bill Burr y la NIST ya han reconocido que su método es ineficaz. Ahora la responsabilidad es nuestra. La aplicación de las nuevas directrices ayudará a crear contraseñas más seguras y a proteger a nuestra empresa del cibercrimen.