Un grupo de investigadores de CyLab, el laboratorio de seguridad y privacidad de la Universidad Carnegie Mellon, han presentado una estudio con el que dicen haber desarrollado una política de creación de contraseñas que son fáciles de recordar y más seguras, una que está respaldada por la ciencia.
Tras más de una década estudiando el problema, dicen que este método mantiene el equilibrio ideal entre seguridad y usabilidad: “Olviden todas las reglas sobre letras mayúsculas y minúsculas, números y símbolos; tu contraseña solo necesita al menos 12 caracteres y debe pasar una prueba de fortaleza en tiempo real desarrollado por los investigadores”.
La poca utilidad de añadir símbolos, caracteres especiales y números solo porque sí
Según los datos recopilados durante la investigación, agregar mayúsculas, símbolos, números y caracteres especiales no aumenta la seguridad de la contraseña tanto como otros requisitos, y además tiende a tener un impacto negativo en la usabilidad de la contraseña.
De hecho, a una conclusión similar llegó hace algunos años Bill Burr, la misma persona que recomendó originalmente que usáramos caracteres especiales y cambiamos de contraseñas constantemente. “Es completamente inútil” dijo, ahora para Burr lo más importante de una contraseña segura es la longitud.
Los científicos de CyLab han invertido años y mucho más trabajo en intentar probar esto. Para ello, en 2016 desarrollaron un “medidor de fortaleza de contraseña” alimentado por una red neuronal artificial que era lo suficientemente pequeño para integrarlo en un navegador web.
El medidor hace cosas como que una vez que ha creado una contraseña con al menos 10 caracteres, te empieza a dar sugerencias para hacerla más fuerte y lograr un “mínimo de fortaleza”, ya sea agregando algún carácter adicional o dividiendo palabras comunes.
Con ese medidor, los investigadores empezaron a hacer experimentos evaluando combinaciones de diferentes políticas de creación de contraseñas. En estos experimentos se les pidió a los participantes que crearan y recordaran contraseñas con políticas asignadas al azar, como por ejemplo requerir un mínimo de caracteres, obligar a usar caracteres especiales, bloqueando el uso de contraseñas inseguras (tipo 123456 oh QWERTY), etc.
La longitud mínima ideal es de 12 caracteres.
Los primeros participantes tenían que ponerse en los zapatos de alguien que se acababa de enterar de que su proveedor de correo electrónico había sufrido una brecha de datos y necesitaba cambiar su contraseña de inmediato. Unos días después se les pedirá que recordaran su contraseña como medidor de usabilidad de la política de contraseñas a la que se sometieron.
Los investigadores encontraron que, una política que requiere tanto un mínimo de fortaleza (determinado por su medidor) como un mínimo de longitud de 12 caracteres, logró un buen equilibrio entre seguridad y usabilidad.
Es menos fastidioso para un usuario escribir una contraseña más larga en lugar de una con más caracteres especiales, y resulta que también es más seguro
Básicamente, su estudio encontró que las políticas de un mínimo de fortaleza de contraseñas pueden proteger contra ataques en línea ya sea requiriendo que el usuario ingrese más tipos de caracteres o escriba contraseñas más largas. Sin embargo, aumentar el límite mínimo de la contraseña logra mayor seguridad a un menor costo en usabilidadespecialmente en el tiempo que le toma al usuario crear una contraseña que cumpla con la exigencia y en qué tan fastidioso le resultado.
Una política de seguridad útil en combinación con esto es que los servicios utilizan listas negras de contraseñas inseguras para que el usuario no pueda utilizarlas. Los investigadores recomiendan que esas listas verifiquen que el usuario no use contraseñas frecuentes filtradas.
El mundo digital lleva años y años. persiguiendo la seguridad en las contraseñaspero incluso las medidas más básicas siguen sin calar entre el público general. No es sorpresa entonces que una y otra, y otra vez, las contraseñas más usadas siguen siendo las mismas terribles como ‘123456’.
Cuando una empresa u organización no implementa ni siquiera políticas de fortaleza mínimas como impedir que el usuario utilice “contraseña” como contraseña, no podemos culpar solo al usuario.
Esta investigación ofrece la idea de que con exigir un mínimo de una contraseña de 12 caracteres aumenta bastante la seguridad, y ofrece una herramienta que se puede implementar en los navegadores para guiar al usuario a crear una más segura. en lugar de ofrecer el semáforo tradicional que solo te dice “débil, fuerte, muy fuerte“.
Imágenes | Marcos Merino mediante IA
En Genbeta | El autocompletado de contraseñas en Chrome o en Edge es tan cómodo como inseguro. Así te las pueden robar en segundos
