Por Carl Leonard y Margaret Cunningham
Las contraseñas, o secretos memorizados, se definen como “algo que usted sabe”, [1] pero a menudo la gente se enfrenta al mismo problema cuando se le pide escribir su contraseña: “Oh no, no me sé mi contraseña”.
En este blog exploraremos el problema de gestionar contraseñas y de quienes buscan autenticar la identidad digital de un usuario. Continuaremos después con el análisis de los Lineamientos para las Identidades Digitales actualizados del Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology) de Estados Unidos, los cuales proponen, entre otras cosas, que las frases de contraseñas (passphrases) reemplazan a las contraseñas.
[1] NIST SP 800-63B, Sección 5.1.1. https://doi.org/10.6028/NIST.SP.800-63b
Es difícil conocer a ciencia cierta la cantidad de contraseñas que la gente tiene que recordar para tener acceso a sus cuentas y dispositivos, pero LastPass descubrió que la gente que utiliza su servicio de gestión de contraseñas maneja en promedio 191. En 2017, Pearman et al. utilizó un software de captura de datos para examinar de qué manera la gente utiliza las contraseñas en la vida real durante 150 días. Descubrieron que las personas utilizaban contraseñas en 26 dominios en promedio, con una relación promedio de 2.39 contraseñas por dominio. Este estudio también demostró que la gente no sólo reutiliza contraseñas exactas, sino que también las reutiliza parcialmente (por ejemplo, Password123, Pass123!) ya que cerca del 40% de los participantes reutilizó el 80-90% de sus contraseñas, o lo hizo parcialmente.
En general, los problemas de seguridad asociados con las contraseñas siguen siendo complicados debido a que los usuarios continúan creando y reutilizando contraseñas que pueden explotarse o deducirse fácilmente para hacer más sencillo memorizar tantos secretos distintos.
En junio de 2017, los Lineamientos para las Identidades Digitales actualizados del NIST (NIST SP 800-60-3)introdujeron cambios importantes a las recomendaciones previas. El motor detrás de estos cambios se enfocó en los usuarios, pues a menudo la experiencia dicta si la gente seguirá las reglas o si crearán soluciones alternas que pudieran impactar negativamente a la seguridad. Se debe tener en cuenta que con frecuencia sus usuarios pudieron haber añadido un signo de exclamación y un número 1 en el momento de generar una nueva contraseña para evitar ver un mensaje de advertencia que sugiere que la contraseña no es lo suficientemente compleja. También muestran un cambio de responsabilidad de los usuarios individuales a las compañías y sistemas que verifican las identidades. Sin embargo, estos cambios también resaltan la necesidad de establecer expectativas reales para la seguridad exclusiva de las contraseñas, ya que muchas cuentas, dominios y dispositivos deben requerir la autenticación de dos o múltiples factores.
Lineamientos para las Identidades Digitales de NIST
Un Resumen de los Cambios
La Tabla 1 contiene un resumen de alto nivel de los cambios de acuerdo con la presentación BSidesLV 2016 de Jim Fenton, consultor de NIST:
| Descripción | Justificación |
| Se recomienda eliminar los requerimientos respecto a la composición de las contraseñas. Esto incluye criterios de composición como “se deben incluir mayúsculas y minúsculas, 2 dígitos, y al menos un carácter especial como $, # y &.” | Las reglas para la composición de contraseñas plantean desafíos para la experiencia de los usuarios y no ofrecen tanto valor como se creía.
Los usuarios crean soluciones alternas (por ejemplo, añadir “1!” al final de contraseñas simples). |
| Se requiere eliminar los indicios de las contraseñas y la autenticación basada en el conocimiento (por ejemplo, ¿cuál era la marca de su primer vehículo) | El conocimiento de los detalles personales que se asocian a los indicios o indicaciones de las contraseñas puede ser accesible para otras personas además del dueño de la contraseña, lo que debilita enormemente los esfuerzos de autenticación. Esto habla de la popularidad de los medios sociales y estar dispuestos a “compartir de más”. |
| Se recomienda eliminar la expiración de rutina o basada en tiempo. | Con frecuencia, la expiración de las contraseñas hace que los usuarios creen contraseñas sencillas, o que las reutilicen debido a las presiones de tiempo o a que hacer el trabajo tiene mayor prioridad.
Los cambios a las contraseñas deben ser indicados por la evidencia de una cuenta comprometida, a través de herramientas como User Entity and Behavorial Analytics (UEBA). |
| La adición de un requerimiento mínimo de 8 caracteres para contraseñas generadas por los usuarios, y con un máximo de 64 caracteres (sin truncar). | Mejora sobre el mínimo previo de 6 caracteres, especialmente para los ataques en línea.
Una longitud máxima les da a los usuarios la oportunidad de crear frases de contraseñas en lugar de contraseñas. Las frases de contraseñas pueden ser más fáciles de recordar que las contraseñas que tienen requerimientos de composición. |
| La adición de un requerimiento para comparar las contraseñas de los usuarios con un diccionario que contiene las contraseñas más utilizadas para bloquear el uso de contraseñas comprometidas o débiles. | El uso de un diccionario alentará a los usuarios a crear contraseñas más robustas y únicas. Crear diccionarios mediante el uso de recursos como la lista de contraseñas comprometidas de Burnett de 2015, puede ser una estrategia útil –sin embargo, los diccionarios que no están bien diseñados pueden ser muy pequeños (ineficaces), o demasiado grandes (crean problemas similares, como reglas de composición extensas). |
| La adición de una recomendación para permitir todos los caracteres que puedan imprimirse y Unicode, así como espacios. | El uso de todos los caracteres ASCII que puedan imprimirse amplia la serie de caracteres y soluciona los problemas de sitios específicos que están asociados con el límite de caracteres especiales;
Permitir el uso de espacios hace que las frases de contraseña sean más fáciles de escribir. |
| La adición de una recomendación para mostrar una contraseña en lugar de oscurecerla con puntos y asteriscos. Las contraseñas mostradas deben estar ocultas después de un periodo predeterminado. | La capacidad de ver una contraseña mientras se escribe ayuda a la precisión, lo que mejora la experiencia del usuario. Esto es especialmente útil cuando se considera el uso de frases de contraseña más largas. |
| No hay cambio para las reglas reguladoras, mantener el límite de los intentos fallidos de autenticación para 100 durante un periodo de 30 días por cuenta. Se aprueba el uso de CAPTCHAs, retrasos o listas blancas de IP. | Poner demasiado énfasis en la regulación basada en una dirección IP fuente es poco probable que mejore la seguridad, pues los ataques pueden usar normalmente la fuerza bruta en un amplio rango IP. |
Como ya lo ha leído, muchos de los lineamientos tienen el objetivo de hacer que las compañías y sistemas a cargo de verificar la identidad soporten más fácilmente las frases de contraseña. Esto evita que el usuario gestione contraseñas complejas como “S4xop!h0ne” y se enfoque en frases de contraseña como “saxophonemarketdinnertree” o una combinación de ambas.
Consejos para mejorar la gestión de identidades digitales
- ¿Su organización ha considerado los lineamientos del NIST? Si no, ¿por qué no traerlos a discusión?
- Revise continuamente los lineamientos de las mejores prácticas para determinar si se aplican para usted, sus datos y sus usuarios (empleados, contratistas y clientes).
- Adoptar los lineamientos del NIST no debe verse como una solución mágica. Después de todo, quienes interactúan con las credenciales y los sistemas de autenticación son humanos, y probablemente cometerán errores y violarán las reglas utilizando soluciones alternas. De igual forma, los atacantes seguirán buscando el acceso a los secretos memorizados, ya sea una contraseña, una frase de contraseña o un PIN, etc.
- No todas las contraseñas/frases de contraseña deben tratarse de la misma manera. Algunas son más importantes que otras; como la contraseña de su laptop, el PIN/patrón/contraseña para desbloquear la pantalla de su teléfono celular o las credenciales para tener acceso a su cuenta de gestión de contraseñas. Asegure sus datos más importantes o el *acceso* a dichos datos con el nivel de seguridad más adecuado.
- Si usted adopta contraseñas o frases de contraseña, sería prudente considerar complementar sus credenciales con al menos la autenticación de doble factor para añadir “algo que tiene” a “algo que sabe”.
Conclusión
Los temas cubiertos aquí provocan y seguirán provocando debate y opiniones encontradas. No todos estarán de acuerdo con la totalidad de las recomendaciones, ni ajustarán sus procesos y tecnología para que se adapten, y puede ser complicado para su personal (clientes y empleados) adoptar y seguir la mejor práctica en el corto y largo plazo.
Las empresas deben estar conscientes de que los usuarios podrían buscar la ruta de menor resistencia cuando crean frases de contraseña de un carácter de longitud mayor al mínimo necesario o regresar a la pobre práctica de almacenar frases de contraseña en un archivo de texto claro que ayude a recordar en lugar de una tecnología de gestión de contraseñas adecuada que se ponga a su disposición para ayudarles.
Entender el comportamiento de sus usuarios, lo que podría motivar a la gente a adoptar las mejores prácticas respecto al uso de contraseñas/frases de contraseña y monitorear el comportamiento de las credenciales una vez que se autentican, aún tiene un largo camino por recorrer hacia el equilibrio de lo realista con lo ideal cuando se trata de implementar lineamientos para la identidad digital.
Ahondaremos más en blogs futuros.
Desde el blog de Forcepoint Security Labs
