El Instituto de Tecnología y Estándares norteamericano (NIST) determinó en 2003 las conocidas como reglas de oro para generar contraseñas seguras, pero su creador, el investigador Bill Burr, ahora ha desmentido su verdadera utilidad y las deja en entredicho.
Según el estándar, una contraseña tiene que conseguir una determinada longitud, combinar caracteres alfanúmerics, símbolos, mayúsculas y minúsculas. El objetivo final de este patrón es evitar que la gente use contraseñas fácilmente predecibles por los cibercriminals.
Estas reglas han dado lugar también, como apuntan desde G DATA, a contraseñas como por ejemplo P@$$w0rd que, a las pocas semanas son reemplazadas por P@$$w0rd2, después por P@$$w0rd3 y así sucesivamente. Si bien cumplen con todos los requisitos, desde el punto de vista de un atacante, sin embargo, son muy fácil de romper usando un software especializado.
Frases para hacer memoria
Las últimas recomendaciones del NIST para la creación de claves robustas apuestan por frases largas que se puedan memorizar. Tratan de hacer de las contraseñas imposibles de memorizar una cosa del pasado. Ante el cambio en la recomendación del NIST para crear una contraseña segura, los expertos explican que aquellos que están acostumbrados y se sienten cómodas con las tradicionales contraseñas complejas pueden mantener sus patrones de creación de passwords sin necesidad de modificar sus hábitos sobre este tema, pero ya no será necesario cambiarlas regularmente si no hay motivo evidente para hacerlo.
Por todos los otros, las opciones se multiplican: es posible usar frases completas, incluyendo espacios en blanco y caracteres especiales. Pero aunque las tradicionales reglas estén en entredicho, la contraseña tiene que seguir siendo difícil de adivinar y, si se apuesta por una frase, es conveniente que sea larga, como recomiendan desde la compañía de seguridad.
Más de 8 caracters
La longitud sigue siendo uno de los factores que definen la fortaleza de una contraseña y esta longitud no tiene que ser nunca inferior a ocho caracteres. Sin embargo, la mejor garantía es apostar por el doble factor, como afirma Tim Berghoff, experto en ciberseguridad de G DATA.
Los aniversarios, las célebres 123456, password, abcdef o qwertyuiop siguen siendo uno mala opción como contraseña. G DATA también avisa que la regla de no volver a usar la misma clave para múltiples propósitos (por ejemplo, correo electrónico, plataformas sociales, tiendas online...) sigue en vigor.
Para crear contraseñas es posible usar frases completas, incluyendo espacios en blanco y caracteres especiales
En consecuencia, cada servicio tiene que tener su propia contraseña y, si es posible, activar un segundo método de autenticación. Un administrador de contraseñas puede ser una herramienta muy útil.
De forma resumida, G DATA aconseja que las contraseñas robustas sean una frase con sentido o combinación aleatoria, pero suficientemente larga; siempre que sea posible, el usuario tiene que activar la autenticación de doble factor, y usar una contraseña diferente para cada servicio. Incluso se puede recurrir a un administrador de contraseñas.