Cada vez que en los medios de tecnología hacemos recomendaciones acerca de la gestión de contraseñas, hay una serie de consejos que se repiten de manera constante. Entre ellos, el de mezclar caracteres especiales, letras y números y cambiar las contraseñas con frecuencia.
Estos dos consejos en particular, que al menos en el ámbito tecnológico se han convertido en conocimiento blanco (un conocimiento del cual no puedes recordar el origen), al parecer provienen de un documento acerca de la gestión de contraseñas elaborado por Bill Burr, entonces administrador del Instituto Nacional de Normas y Tecnología de los Estados Unidos. ¿Y a qué viene contar todo esto? Pues porque, recientemente, el mismo Burr se ha arrepentido de haber dado esos consejos.
En una entrevista en el Wall Street Journal, Burr, ahora retirado con 72 años, afirmó que esas normas han sido completamente malinterpretadas. Por sí misma, la combinación de caracteres no sirve de nada: no evita que los hackers no descubran las contraseñas. Y esto es así principalmente por nuestra pereza.
Una contraseña del tipo «p@55Word123!» tiene la apariencia de ser segura, pero el problema estriba en que la gente tiende a usar exactamente los mismos patrones a la hora de elaborarlas, de manera que todo lo que tiene que hacer un hacker es elaborar un algoritmo que tenga en cuenta dichos patrones para aprovecharse de ellos.
De acuerdo, el argumento es convincente. Pero, ¿por qué no hacer cambios con frecuencia? Pues porque, según Burr y bajo la misma lógica, no contribuye a la seguridad en nada. Por lo general, lo que hace la gente cuando debe cambiar la contraseña es incluir una pequeña modificación, a veces añadiendo tan solo un número. Consideran su contraseña tan segura que piensan que así cumplen con el requerimiento de seguridad cuando, en realidad, no están complicando el acceso mucho que digamos.
¿Y ahora? Menos cambios y contraseñas más largas y memorables
Según explican en Genbeta, el documento original de Burr ha sido modificado prácticamente en su totalidad y se han desechado esas dos recomendaciones. Una de las razones para hacerlo es que estas afectan a la usabilidad, pues los usuarios tienden a olvidarse de contraseñas tan complicadas.
Entonces, ¿cuáles serían las nuevas recomendaciones? Una de ellas es que, en lugar de usar las combinaciones de caracteres, se empleen frases largas pero que sean fáciles de recordar. La longitud de las contraseñas es algo que influye a la hora de dificultar su descubrimiento por medio de ataques automatizados. Cuanto más larga sea, más difícil de romper.
Y en cuanto a la frecuencia del cambio de contraseña, parece ser que ahora se recomienda que solamente se realice cuando haya indicios de que existen problemas. Por ejemplo, cuando se ha producido la filtración de las bases de datos de un servicio o cuando detectas un comportamiento extraño en una cuenta concreta.
Pero, a pesar de estos nuevos consejos, si hay una recomendación que sigue siendo la más potente respecto a seguridad y contraseñas es la de utilizar un gestores como Keepass, por ejemplo. Con ellos, podemos limitarnos a crear una sola contraseña ultrasegura, que será la única que deberemos recordar, y luego generar las de cada servicio con las funciones que incorporan. Las contraseñas creadas así están pensadas para que sean inexpugnables en la práctica, pues llevaría miles de años descifrarlas.
