20 feb. 2020

"Los gestores de contraseña son una buena idea" [FBI]

Para proteger a los usuarios estadounidenses de hackeos externos y amenazas de ciberseguridad, el FBI ha creado una serie de directrices para que las contraseñas sean más seguras: en lugar de usar palabras, usar frases enteras.

Usar gestores de contraseñas

A pesar de todos estos consejos, muchos usuarios todavía siguen usando contraseñas como "123456" o "password". Este tipo de acciones no tienen perdón, sobre todo cuando hay gestores de contraseña como el de la propia Google, donde sólo tienes que recordar una única contraseña segura de tu email para acceder a todas las demás. Desde el FBI recomiendan su uso, ya que aunque un hacker pueda acceder a todas tus contraseñas con sólo averiguar la del programa, su uso entraña muchas más ventajas, como la generación de contraseñas únicas para cada servicio.

El crackeo de contraseñas por fuerza bruta es cada vez más peligroso; sobre todo si no se cifran usando bcrypt u otros cifrados seguros.

Contraseñas largas mejor que contraseñas complejas

De hecho, es mucho mejor que una contraseña sea larga que que sea compleja, ya que si es larga se aumenta el número de caracteres que hay que comprobar. Por ejemplo, es más difícil crackear "CocheMesDirectorMandato", que "CocheM€s". El National Institute of Standards and Technology (NIST) recomienda (SP 800-63-3), por tanto, que la longitud sea de al menos 15 caracteres, y al ser frases de palabras combinadas, es más fácil de recordar. Y si usamos palabras que no existen en diccionarios, o palabras que no tienen nada que ver entre sí, pero que podemos recordar fácilmente, mucho mejor.

Así, no es necesario ni siquiera combinar mayúsculas, números o caracteres especiales como nos obligan a hacer muchas páginas, sino que con que sea larga ya es más que suficiente.

Por tanto, las recomendaciones del FBI son:
  • Contraseñas combinadas de 15 o más caracteres
  • Sólo pedir que alguien cambie su contraseña si cree que hay razones para creer que la web o servicio ha sufrido un hackeo
  • Evitar que se utilicen contraseñas que hayan sido hackeadas previamente, tal y como hace Microsoft
  • No bloquear cuentas de usuario al introducir contraseñas por error para evitar ataques DDoS
  • No permitir que haya sugerencias de contraseñas.
Fuente: FBI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!