Para una longitud mínima de contraseña, ¿son suficientes 14 caracteres?

Los problemas con las contraseñas

Las contraseñas están llenas de riesgos de seguridad. En los ataques de fuerza bruta, como el rociado de contraseñas, los hackers intentan descifrar las credenciales ingresando múltiples combinaciones de nombres de usuario y contraseñas en un programa. En los ataques de keylogger, las aplicaciones monitorean las pulsaciones de teclas y permiten que los hackers adivinen combinaciones de contraseñas. El phishing y otros ataques de ingeniería social también amenazan la seguridad de las contraseñas.

La mala higiene de las contraseñas conduce a una mala seguridad de la contraseña. Con demasiada frecuencia, los usuarios escriben sus contraseñas y las almacenan en sus escritorios o en sus teléfonos. La reutilización de la contraseña es otra preocupación importante: el tercer Informe anual de seguridad de contraseña global de LastPass encontró que los empleados usan la misma contraseña un promedio de 13 veces. Otra amenaza es que los usuarios crean contraseñas que no solo son fáciles de recordar, sino también fáciles de adivinar para los hackers. Es muy probable que estas contraseñas ya estén listadas en las tablas arcoiris de un hacker (más sobre ellas a continuación) o en listas de contraseñas disponibles públicamente para ataques de relleno de credenciales. Además, las contraseñas de uso común, como 123456, contraseña (password), qwerty y iloveyou, aparecen regularmente en listas de contraseñas comúnmente descifradas.

El desafío de seguridad de las contraseñas también se puede vincular a la gran cantidad de contraseñas que los usuarios deben recordar. La investigación de LastPass informó que el empleado comercial promedio debe recordar entre 25 y 85 contraseñas, y eso es solo en el lugar de trabajo. Con tantas credenciales para recordar, no sorprende que la seguridad de las contraseñas sea terrible. Combine estos problemas con el hecho de que tantas aplicaciones y sistemas corporativos requieren actualizaciones de contraseña en una cadencia regular, y no es de extrañar que la gente olvide sus contraseñas, las reutilice o cree otras que sean fáciles de recordar.

Seguridad de las contraseñas: Desafíos técnicos

Por obvias razones de seguridad, las aplicaciones y sistemas operativos modernos no almacenan las contraseñas de los usuarios en texto sin cifrar. En cambio, cuando un usuario restablece su contraseña, los caracteres alfanuméricos ingresados ​​se ejecutan contra un algoritmo de cifrado que crea un valor hash criptográfico único, que representa la contraseña y se almacena en el sistema en un archivo. Cuando un usuario regresa para acceder al sistema, ingresa la misma secuencia de letras y números, y el sistema genera una secuencia de hash sobre la marcha. Este valor se compara con el valor del archivo hash original para que ese usuario determine si la contraseña ingresada es correcta.

En el pasado, las contraseñas de hash se consideraban un enfoque seguro porque, incluso si un hacker podía obtener un archivo de hash de contraseña del sistema, el esfuerzo computacional que habría tomado para escribir al azar las contraseñas y hacer coincidir el resultado con los valores de hash conocidos encontrados en el archivo del sistema era una tarea imposible. Sin embargo, debido al valor de esta información y las capacidades computacionales exponenciales de las computadoras actuales, los hackers a menudo asignan cada combinación de secuencias de caracteres de contraseñas a sus valores hash, comenzando con A, AA, AAA y a través de toda la secuencia alfanumérica. Estos valores se almacenan en tablas disponibles públicamente llamadas tablas arcoíris.

Las tablas arcoíris requieren muchas horas de esfuerzo, pero este tipo de esfuerzos están en curso. Desde que comenzaron los intentos iniciales de adquirir valores hash de las contraseñas, las tablas han crecido en alcance y tamaño hasta el punto en que es probable que cualquier contraseña de menos de 12 caracteres de longitud tenga su valor hash registrado en alguna parte de la tabla arcoíris. Esto significa que una persona nefasta que adquiere el archivo hash de un sistema puede simplemente obtener una tabla arcoíris para ese sistema operativo o aplicación y buscar los valores hash para descubrir las contraseñas de los usuarios almacenadas en ella.

A medida que crecen las tablas arcoíris, las contraseñas deben ser más largas y complejas, lo que hace que el esfuerzo requerido para obtener sus valores sea demasiado oneroso. Este trabajo en curso para reunir los datos de la tabla arcoíris pronto hará que los debates sobre la longitud mínima de la contraseña sean discutibles y es la razón principal por la que muchos expertos consideran que las contraseñas son una mala elección para autenticar las credenciales para acceder a datos importantes y valiosos.

Crear una contraseña más segura

A pesar de sus conocidos riesgos y vulnerabilidades, las contraseñas están aquí para quedarse, al menos por ahora. Depende de las organizaciones aumentar su seguridad. Por ejemplo, aplicar una longitud de contraseña mínima más larga en los sistemas empresariales puede ayudar a que las contraseñas sean menos susceptibles a los ataques de fuerza bruta.

¿Qué es una longitud de contraseña mínima "buena" o "segura"? Muchos sitios web, incluidos Facebook, Gmail y Amazon, requieren al menos de seis a ocho caracteres en una combinación de símbolos, números y letras mayúsculas y minúsculas. Esto es mucho menos que la contraseña de 14 caracteres, que a menudo los consumidores y empleados consideran engorrosa.

Cuando se trata de eso, centrarse principalmente en la longitud no hará el trabajo. Lo importante es la complejidad de la contraseña. ¿Qué se puede hacer para aumentar la complejidad de la contraseña, mientras se hace la tarea de usar contraseñas largas más fácil de usar? La respuesta simple es mediante el uso de frases de contraseña. En lugar de crear una larga cadena de caracteres y números sin sentido, las personas deberían usar oraciones familiares que creen imágenes en su mente, algo que a los humanos les resulta más fácil recordar, para recordar su contraseña.

Por ejemplo, si un usuario tiene un hijo en la escuela, podría pensar en la frase "Mi hijo está en el cuadro de honor de quinto grado". Esto se puede traducir fácilmente a una contraseña que recordaría, como Bobbys#1OnThe5thGradeHR. O una persona en la música puede pensar: "Mi banda favorita, cuando me gradué de la escuela secundaria en 1998, fue Nine Inch Nails", que se puede convertir en la contraseña N1998ILoved9InchNails. Ambos ejemplos son complejos y superan la longitud de la contraseña de 14 caracteres. También se pueden hacer combinaciones más cortas y únicas; solo toma un poco de imaginación.

Abundan las alternativas de contraseña

Si las contraseñas no son lo suficientemente seguras para las necesidades de su empresa, existen métodos de credenciales alternativos más fuertes disponibles, que incluyen tokens blandos o duros, biometría y autenticación basada en el conocimiento. El inicio de sesión único, que permite a un empleado utilizar un conjunto de credenciales para múltiples aplicaciones empresariales, también puede disminuir la carga de la contraseña. La autenticación de dos factores o multifactor también aumenta la seguridad de la contraseña. Los administradores de contraseñas empresariales, disponibles en forma de software o servicio de varios proveedores, pueden ayudar almacenando contraseñas encriptadas para usar en aplicaciones o dispositivos.