Las directrices preliminares sobre gestión de identidad y acceso y operaciones de seguridad exigen contraseñas aleatorias más largas en lugar de frases memorizadasChris Riotta (@chrisriotta) •26 de septiembre de 2024 Los usuarios no deberían tener que actualizar sus contraseñas a menos que haya una buena razón para hacerlo, dijo el Instituto Nacional de Normas y Tecnología. (Imagen: Shutterstock) Las contraseñas digitales se han vuelto demasiado ilógicas y difíciles de administrar para los usuarios finales, según las últimas directrices del Instituto Nacional de Estándares y Tecnología. Ver también: Pioneros en seguridad de identidad: Health First El NIST publicó recientemente el segundo borrador público de sus pautas de identidad digital, SP-800-63-4, que exige una revisión de las prácticas de contraseñas. Según las nuevas directrices, ya no se exigirá a los usuarios finales que cambien rutinariamente sus contraseñas, pero su información de inicio de sesión deberá ser más larga y aleatoria que nunca. Los expertos han pedido durante mucho tiempo una revisión de las prácticas estándar de contraseñas, y en 2016 la Comisión Federal de Comercio instó a las organizaciones a poner fin a los cambios obligatorios de contraseñas. Los jefes de tecnología e investigadores de seguridad de empresas tecnológicas líderes como Microsoft también han instado a los CSP a abandonar los estándares de caducidad de contraseñas, advirtiendo que la práctica en realidad debilita la seguridad al alentar a los usuarios a crear contraseñas más simples y predecibles. Las recomendaciones propuestas exigen que los administradores de políticas de contraseñas abandonen la noción de que los inicios de sesión deben contener al menos un número, un carácter especial y una combinación de letras mayúsculas y minúsculas. En cambio, los proveedores y verificadores de servicios en la nube deberían exigir que las contraseñas tengan una longitud mínima de 15 caracteres, según el NIST, y forzar cambios en la información de inicio de sesión del usuario sólo cuando haya evidencia de un compromiso del autenticador. No se requieren otras reglas de composición según las nuevas recomendaciones, que también exigen que se ponga fin al almacenamiento de sugerencias de contraseñas y preguntas de seguridad. Se recomienda a los CSP que permitan una longitud máxima de contraseña de al menos 64 caracteres, incluido el carácter de espacio. El NIST ha apuntado constantemente a modernizar la guía de contraseñas en los últimos años, inicialmente pidiendo a los CSP que renuncien a los requisitos arbitrarios de complejidad de contraseñas en 2019 (consulte: Pautas de contraseñas sorprendentes del NIST). La última guía actualizada dice que los usuarios que almacenan información de inicio de sesión con CSP deben someterse a una reautenticación periódica al menos cada 30 días y recomienda la autenticación criptográfica multifactor, entre otras formas de autenticación más allá de las contraseñas. Las organizaciones que almacenan contraseñas para los usuarios también deben desarrollar nuevas listas de bloqueo que contengan contraseñas conocidas de uso común o comprometidas, según las pautas del NIST. La nueva guía del NIST recomienda a los CSP «suspender, invalidar o destruir» inmediatamente la contraseña y la información de inicio de sesión comprometidas luego de la detección de una cuenta comprometida. También se recomienda a las organizaciones que proporcionen a los usuarios métodos de autenticación de respaldo para recuperar el acceso seguro a sus cuentas. Las últimas recomendaciones del NIST se producen después de que la agencia recibiera casi 4000 comentarios específicos de las partes interesadas y del público para modernizar sus pautas de identidad digital. La agencia ahora busca comentarios sobre una serie de preguntas clave incluidas en el borrador de la propuesta, como si se deben incluir recomendaciones de implementación adicionales y qué métricas específicas podrían permitir una adopción más rápida de las últimas directrices. URL de la publicación original: https://www.databreachtoday.com/nist-calls-for-major-overhaul-in-ceived-password-practices-a-26393