En un marco donde las contraseñas suponen una de las primeras líneas de defensa de las cuentas, conocer las formas de hacerlas más seguras es crucial.
El Instituto Nacional de Estándares y Tecnología, conocido como el NIST, es una agencia de renombre a nivel mundial que promueve la innovación y la competitividad industrial mediante el desarrollo de estándares, medidas y tecnologías.
Lo cierto es que en el plano de la ciberseguridad esta institución es sumamente importante, brindando estándares requeridos y aplicados en las distintas organizaciones, estableciendo normas de calidad y precisión en diversos campos, incluyendo también la tecnología de la información.
Una de las publicaciones más interesantes resulta ser el NIST SP 800-63-3, donde uno de sus apartados remarca una guía de contraseñas útiles para evitar que estas puedan ser vulneradas fácilmente por los ciberdelincuentes.
Observaremos cada una de las secciones y determinaremos qué tan factible puede ser utilizar los métodos que se nos brindan para fortalecer nuestras credenciales.
Utilizar un gestor de contraseñas
Acorde al documento, la manera más eficaz de mejorar las contraseñas es utilizando un gestor de contraseñas.
Es una herramienta altamente calificada que permite, no solo almacenarlas de forma segura, sino también generarlas de modo que sean robustas ante posibles ataques, como fuerza bruta o diccionario.
Con esto, reducimos el error humano al aplicar caracteres especiales difícilmente reconocibles por un ciberdelincuentes a primera vista. Además, ayudamos a los usuarios a no utilizar contraseñas débiles y delegar este inconveniente a través del gestor.
La longitud de las contraseñas es más importante que la complejidad
Un punto, que quizá suene polémico, resulta en darle más importancia a cuantos caracteres posee una contraseña por encima de la complejidad basada en el uso de los tipos de caracteres que se usan.
La razón que da el NIST para justificar este apartado es que las contraseñas largas son muy difíciles de romper incluso a través de mecanismos de prueba y error, por encima incluso de las contraseñas con menos caracteres aunque complejas.
Si bien el justificativo no es para nada controversial, siempre es importante hacer una combinación entre longitud y complejidad, de modo tal que aumentamos enormemente la seguridad de la contraseña
Ese es el motivo por el cual diversos sitios web obligan a sus usuarios a crearlas, por lo menos, con 8 caracteres como mínimo al registrarse y crear una cuenta.
Apretar la opción de «mostrar contraseña» mientras se escribe
Normalmente, mientras colocamos las contraseñas en nuestras cuentas, aparecen los asteriscos (*) que no nos permiten observar en tiempo real los caracteres que colocamos para registrarnos o iniciar sesión.
Uno de los puntos que sostiene este argumento es que reduce la posibilidad de que la página web nos bloquee la sesión tras reiterados intentos erróneos.
Si mantenemos activa la opción de «mostrar la contraseña», nos ahorraremos este problema a la hora de introducir las credenciales, mucho más si estas son largas y complejas, requiriendo de muchos caracteres.
No permitas ayuda a la hora de crear la contraseña
Hay compañías que ofrecen preguntas personales o ayudas para darles una mano a los usuarios para recordar sus contraseñas.
Lo cierto es que con el avance de la inteligencia artificial y la ingeniería social, los atacantes tienen muchas más posibilidades de encontrar las respuestas.
Por ende, es mucho más seguro confiar en uno mismo, en lugar de dejarle a un sitio web que desconocemos en primera instancia para crear la contraseña.
No cambies las contraseñas frecuentemente
Mientras la gran mayoría de especialistas recomienda cambiar recurrentemente las contraseñas, el NIST sugiere realizar cambios únicamente si hay una buena razón detrás, por ejemplo, luego de una filtración de datos.
El motivo radica en que la tendencia de los usuarios es utilizar progresivamente contraseñas más sencillas de recordar, lo que reduce la seguridad de las mismas. Esto, según explica el documento, se realiza debido a las frustraciones de las personas de cumplir con los requerimientos de complejidad.
Una de las alternativas que se recomienda es cambiar con cierta frecuencia las contraseñas, pero siempre manteniendo un nivel similar de complejidad para evitar así que pierdan su robustez ante posibles ataques por parte de los ciberdelincuentes.
Usar la autenticación de dos factores
Esta configuración significa que, además de introducir la contraseña, también debemos probar nuestra identidad a través de otra categoría, las cuales incluyen:
- Algo que sabemos, como una contraseña.
- Algo que tenemos, como un código o un token.
- Algo que somos, como la huella dactilar o el iris.
Por lo tanto, si un atacante desea ingresar por la fuerza a nuestra cuenta, deberá también tener, por ejemplo, un código de verificación o la huella dactilar, lo que reduce enormemente la posibilidad de que la cuenta a la que el ciberdelincuente desea ingresar sea vulnerada.
Otras recomendaciones que sugiere el NIST:
- Mantener la contraseña segura de métodos como el salting o el hashing.
- Limitar el número de intentos para introducir la contraseña.
- Usar el MFA (autenticación de múltiple factor).
- Ayudar a los usuarios a entender por qué hay contraseñas que no deben ser utilizadas.
- Aplicar el uso de caracteres especiales.