Getty Images El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal que establece los estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto prohibir algunos de los requisitos de contraseñas más molestos y sin sentido. Entre ellos, los principales: los restablecimientos obligatorios, el uso requerido o restringido de ciertos caracteres y el uso de preguntas de seguridad. Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes más desafiantes de un buen régimen de ciberseguridad. Más desafiante aún es cumplir con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. Con frecuencia, las reglas, aparentemente para mejorar la higiene de la seguridad, en realidad la socavan. Y, sin embargo, los creadores de reglas anónimos imponen los requisitos de todos modos. ¡Detengan la locura, por favor! La semana pasada, el NIST publicó SP 800-63-4, la última versión de sus Pautas de identidad digital. Con aproximadamente 35.000 palabras y lleno de jerga y términos burocráticos, el documento es casi imposible de leer en su totalidad e igualmente difícil de entender por completo. En él se establecen tanto los requisitos técnicos como las mejores prácticas recomendadas para determinar la validez de los métodos utilizados para autenticar identidades digitales en línea. Las organizaciones que interactúan con el gobierno federal en línea deben cumplir con las normas. Una sección dedicada a las contraseñas aporta una gran cantidad de prácticas de sentido común muy necesarias que desafían las políticas comunes. Un ejemplo: las nuevas reglas prohíben el requisito de que los usuarios finales cambien periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando la seguridad de las contraseñas era poco entendida y era común que las personas eligieran nombres comunes, palabras del diccionario y otros secretos que se adivinaban fácilmente. Desde entonces, la mayoría de los servicios requieren el uso de contraseñas más seguras compuestas de caracteres o frases generados aleatoriamente. Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas periódicamente, por lo general cada uno o tres meses, en realidad puede disminuir la seguridad porque la carga adicional incentiva el uso de contraseñas más débiles que son más fáciles de configurar y recordar para las personas. Otro requisito que a menudo hace más daño que bien es el uso obligatorio de ciertos caracteres, como al menos un número, un carácter especial y una letra mayúscula y minúscula. Cuando las contraseñas son suficientemente largas y aleatorias, no hay ningún beneficio en requerir o restringir el uso de ciertos caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a que las personas elijan contraseñas más débiles. Las últimas pautas del NIST ahora establecen que: Los verificadores y los CSP NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas y Los verificadores y los CSP NO DEBEN requerir que los usuarios cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador. («Verificadores» es el lenguaje burocrático para la entidad que verifica la identidad del titular de una cuenta al corroborar las credenciales de autenticación del titular. Los «CSP», abreviatura de proveedor de servicios de credenciales, son una entidad confiable que asigna o registra autenticadores al titular de la cuenta). En versiones anteriores de las pautas, algunas de las reglas usaban las palabras «no debería», lo que significa que la práctica no se recomienda como una mejor práctica. «No deberá», por el contrario, significa que la práctica debe estar prohibida para que una organización cumpla. El último documento contiene varias otras prácticas de sentido común, entre ellas: Los verificadores y los CSP DEBEN exigir que las contraseñas tengan un mínimo de ocho caracteres y DEBEN exigir que las contraseñas tengan un mínimo de 15 caracteres. Los verificadores y los CSP DEBEN permitir una longitud máxima de contraseña de al menos 64 caracteres. Los verificadores y los CSP DEBEN aceptar todos los caracteres ASCII de impresión. [RFC20] caracteres y el carácter de espacio en las contraseñas. Los verificadores y los CSP DEBERÍAN aceptar Unicode [ISO/ISC 10646] caracteres en las contraseñas. Cada punto de código Unicode DEBE contarse como un solo carácter al evaluar la longitud de la contraseña. Los verificadores y los CSP NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas. Los verificadores y los CSP NO DEBEN requerir que los usuarios cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador. Los verificadores y los CSP NO DEBEN permitir que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado. Los verificadores y los CSP NO DEBEN solicitar a los suscriptores que utilicen la autenticación basada en conocimiento (KBA) (por ejemplo, «¿Cuál era el nombre de su primera mascota?») o preguntas de seguridad al elegir las contraseñas. Los verificadores DEBEN verificar la contraseña completa enviada (es decir, no truncarla). Los críticos han señalado durante años la insensatez y el daño que resultan de muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos, los servicios en línea y las agencias gubernamentales se han aferrado a ellas de todos modos. Las nuevas directrices, en caso de que se conviertan en definitivas, no son vinculantes para todos, pero podrían proporcionar argumentos convincentes a favor de acabar con este disparate. El NIST invita a la gente a enviar comentarios sobre las directrices a dig-comments@nist.gov antes de las 11:59 p. m., hora del Este, del 7 de octubre.