18 oct 2024

Nuevas reglas de NIST para el uso de contraseñas (al fin un poco de sentido común!)

El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto prohibir algunos de los requisitos de contraseña más molestos y sin sentido. Los principales: reinicios obligatorios, uso obligatorio o restringido de ciertos personajes y el uso de preguntas de seguridad.

Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes más desafiantes de un buen régimen de ciberseguridad. Aún resulta más difícil cumplir con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. A menudo, las reglas (aparentemente para mejorar la higiene de la seguridad) en realidad la socavan. Y, sin embargo, los legisladores anónimos imponen los requisitos de todos modos.

La semana pasada, NIST publicó su segundo borrador público de SP 800-63-4, la última versión de sus Directrices de identidad digital. Una sección dedicada a las contraseñas agrega una gran cantidad de prácticas de sentido común muy necesarias que desafían las políticas comunes. Un ejemplo: las nuevas reglas prohíben el requisito de que los usuarios finales cambien periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando no se entendía bien la seguridad de las contraseñas y era común que las personas eligieran nombres comunes, palabras del diccionario y otros secretos que se adivinaban fácilmente.

Desde entonces, la mayoría de los servicios requieren el uso de contraseñas más seguras compuestas por caracteres o frases generadas aleatoriamente. Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas periódicamente, generalmente cada uno a tres meses, en realidad puede disminuir la seguridad porque la carga adicional incentiva contraseñas más débiles que son más fáciles de configurar y recordar para las personas.

Otro requisito que a menudo hace más daño que bien es el uso obligatorio de ciertos caracteres, como al menos un número, un carácter especial y una letra mayúscula y minúscula. Cuando las contraseñas son lo suficientemente largas y aleatorias, no resulta beneficioso exigir o restringir el uso de ciertos caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a que las personas elijan códigos de acceso más débiles.

Las últimas directrices del NIST ahora establecen que:

  • Los verificadores NO DEBEN imponer reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para contraseñas y;
  • Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.

Entre las nuevas directrices las reglas utilizan las palabras "DEBERÍA" (should), lo que significa que se recomienda como mejor práctica y "DEBEN" (must),que, por el contrario, significa que debe prohibirse en la práctica. El último documento contiene varias otras prácticas de sentido común, que incluyen:

  • Los verificadores DEBEN exigir que las contraseñas tengan una longitud mínima de ocho caracteres aunque DEBERÍAN exigir que las contraseñas tengan una longitud mínima de 15 caracteres.
  • Los verificadores DEBERÍAN permitir una longitud máxima de contraseña de al menos 64 caracteres.
  • Los verificadores DEBERÍAN aceptar todos los caracteres ASCII [RFC20] impresos y el carácter de espacio en las contraseñas.
  • Los verificadores DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada código Unicode DEBE contarse como un solo carácter al evaluar la longitud de la contraseña.
  • Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas. Esta disposición puede ser discutible y dependerá de la forma en que se almacenen y se realice hashing de las contraseñas tratadas.
  • Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.
  • Los verificadores NO permitirán que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado.
  • Los verificadores NO DEBEN solicitar a los suscriptores que utilicen autenticación basada en conocimientos (KBA) (por ejemplo, "¿Cómo se llamaba su primera mascota?") ni preguntas de seguridad al elegir contraseñas.
  • Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no truncarla).

Durante años, los críticos han denunciado la locura y el daño que resultan de muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos, los servicios en línea y las agencias gubernamentales se han aferrado en gran medida a ellos de todos modos.

Las nuevas directrices, en caso de que sean definitivas, no son universalmente vinculantes, pero podrían proporcionar puntos de conversación persuasivos a favor de acabar con las tonterías.

Fuente: NIST

Suscríbete a nuestro Boletín

3 comentarios:

  1. Excelentes avances, finalmente la clave puede ser permatente siempre y cuando exista un MFA de por medio.

    ResponderBorrar
  2. Buenísimo, habrá que esperar que salga publicado de forma definitiva para poder referirlo en las propuestas de políticas de contraseñas

    ResponderBorrar
  3. Muchos DEBEN y NO DEBEN , es cierto que se simplifica la gestión ,pero el usuario es el usuario y siempre usará la forma mas facil . EL DEBERIA en algunos casos debe MUTAR a DEBE. Si yo permito una contraseña sin caracteres especiales, sin mayuscula ,etc etc y pido que de minuma sea de 8 caracteres pero DEBERIA ser de 15 como minimo , el usuario usara una de 8 caracteres simple y adivinable y si encima no la debe cambiar , listo. dejar una pass forever no tiene sentido. No concuerdo con el criterio. Si me decis tiene que tener minimo 15 caracteres,25 caracteres , es algo que ayuda pero no complejiza la contraseña. Descontemosel MFA por supuesto.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!