Investigadores dicen haber encontrado "la mejor forma de crear contraseñas seguras"
Un grupo de investigadores de CyLab, el laboratorio de seguridad y privacidad de la Universidad Carnegie Mellon, han presentado un estudio con el que dicen haber desarrollado una política de creación de contraseñas que son fáciles de recordar y más seguras, una que está respaldada por la ciencia. El paper "Practical Recommendations for Stronger, More Usable Passwords Combining Minimum-strength, Minimum-length, and Blocklist Requirements" fue desarrollado por Joshua Tan, Lujo Bauer, Nicolas Christin, and Lorrie Faith Cranor de Carnegie Mellon University.
Tras más de una década estudiando el problema, dicen que este método mantiene el balance ideal entre seguridad y usabilidad: "Olviden todas las reglas sobre letras mayúsculas y minúsculas, números y símbolos; tu contraseña solo necesita al menos 12 caracteres y debe pasar una prueba de fortaleza en tiempo real desarrollada por los investigadores".Según los datos recopilados durante la investigación, añadir mayúsculas, símbolos, números, y caracteres especiales no aumenta la seguridad de la contraseña tanto como otros requerimientos, y además tiende a tener un impacto negativo en la usabilidad del password.
De hecho, a una conclusión similar llegó hace algunos años Bill Burr, la misma persona que recomendó originalmente que usáramos caracteres especiales y cambiáramos de contraseñas constantemente. "Es completamente inútil, lo más importante de una contraseña segura es la longitud". En aquel entonces Burr trabajaba en el Instituto Nacional de Normas y Tecnología de los Estados Unidos. El documento que creó se convirtió básicamente en la guía de agencias federales, universidades y empresas a la hora de seguir ciertas reglas para crear contraseñas. Burr recomendaba cosas como cambiar la contraseña cada 90 días, y combinar números, letras, símbolos, mayúsculas y minúsculas. Ahora que está retirado y tiene 72 años, dice que ninguna de esas reglas mantienen fuera a los atacantes.
Los científicos de CyLab han invertido años y mucho más trabajo en intentar probar esto. Para ello, en 2016 desarrollaron un "medidor de fortaleza de contraseña" alimentado por una red neuronal artificial que era lo suficientemente pequeño para integrarlo en un navegador web.
El medidor hace cosas como que
una vez que has creado una contraseña con al menos 10 caracteres, te empieza a
dar sugerencias para hacerla más fuerte y lograr un "mínimo de fortaleza", ya
sea añadiendo algún carácter adicional o dividiendo palabras comunes.
Con ese medidor, los investigadores empezaron a hacer experimentos
evaluando combinaciones de diferentes políticas de creación de contraseñas. En
estos experimentos se les pidió a los participantes que crearan y recordaran
contraseñas con políticas asignadas al azar, como por ejemplo requerir un mínimo
de caracteres, obligar a usar caracteres especiales, bloqueando el uso de
contraseñas inseguras (tipo "123456" o "qwerty"), etc.
La longitud mínima ideal es de 12 caracteres
Los primeros participantes tenían que ponerse en los zapatos de alguien que se acababa de enterar de que su proveedor de email había sufrido una brecha de datos y necesitaba cambiar su contraseña de inmediato. Unos días después se les pedía que recordaran su contraseña como medidor de usabilidad de la política de contraseñas a la que se sometieron.Los investigadores encontraron que, una política que requiere tanto un mínimo de fortaleza (determinado por su medidor) como un mínimo de longitud de 12 caracteres, logró un buen balance entre seguridad y usabilidad. Es menos fastidioso para un usuario escribir una contraseña más larga en lugar de una con más caracteres especiales, y resulta que también es más seguro.
Básicamente, su estudio encontró que las políticas de un mínimo de fortaleza de contraseñas pueden proteger contra ataques online ya sea requiriendo que el usuario ingrese más tipos de caracteres o escriba contraseñas más largas. Sin embargo, aumentar el límite mínimo de la contraseña logra mayor seguridad a un menor costo en usabilidad, especialmente en el tiempo que le toma al usuario crear una contraseña que cumpla con la exigencia y en qué tan fastidioso le resulte.
Una política de seguridad útil en combinación con esta es que los servicios utilicen listas negras de contraseñas inseguras para que el usuario no pueda utilizarlas. Los investigadores recomiendan que esas listas verifiquen que el usuario no use contraseñas comúnmente filtradas.
Cuando una empresa u organización no implementa siquiera políticas de fortaleza mínimas como impedir que el usuario use "password" como password, no podemos culpar solo al usuario.
Esta investigación ofrece la idea de que con exigir mínimo una contraseña de 12 caracteres aumentas bastante la seguridad, y ofrece una herramienta que se puede implementar en los navegadores para guiar al usuario a crear una más segura, en lugar de ofrecer el semáforo tradicional que solo te dice "débil, fuerte, muy fuerte".
Fuente: Genbeta
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!