Una agencia de estándares de EE. UU. ha emitido una nueva guía que dice que las organizaciones no deberían exigir a los usuarios que cambien sus contraseñas periódicamente, un consejo que está respaldado por décadas de investigación.
Muchas organizaciones obligan a sus empleados a cambiar periódicamente sus contraseñas informáticas por razones de seguridad. Ahora, el gobierno de Estados Unidos está diciendo que quienes crean y utilizan software y herramientas en línea deberían dejar de hacerlo. Entonces, ¿qué deberían hacer realmente las personas?
El último consejo del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) no surge de la nada. Se basa en décadas de investigación que demuestran que obligar a los usuarios de sitios web y software a cambiar periódicamente sus contraseñas en realidad perjudica la seguridad.
Alan Woodward, de la Universidad de Surrey (Reino Unido), afirma que imponer cambios periódicos de contraseñas va en contra de todos los consejos oficiales, pero que todavía se practica de forma generalizada. Las investigaciones han demostrado que muchas veces esto hace que los usuarios elijan contraseñas poco fiables que los piratas informáticos pueden adivinar fácilmente, afirma. “Si se dificulta el uso de la seguridad o se hace difícil de usar, o se pone la responsabilidad en el usuario todo el tiempo, poco a poco se vuelve cada vez menos eficaz”, afirma Woodward.
Angela Sasse, del University College de Londres, afirma que el debate se resolvió hace mucho tiempo: su propia investigación a lo largo de muchos años, así como la de sus colegas, indican que los cambios de contraseñas obligatorios y periódicos son perjudiciales para la seguridad. Las personas no pueden recordar las infinitas contraseñas y comienzan a tomar malas decisiones, como simplemente añadir números crecientes a palabras o frases simples: “contraseña1”, “contraseña2”, etc.
“Observamos la carga de memoria y las molestias que esto causaba a partir de entrevistas y datos proporcionados por los propios usuarios hace más de 20 años. La gente nos contaba estrategias de afrontamiento que conducían a contraseñas más débiles”, afirma Sasse. “El misterio es por qué ese conocimiento científico establecido y los consejos oficiales no han logrado cambiar los consejos obsoletos de ciertas certificaciones, las mentes de los auditores y una gran parte de la industria de la seguridad”.
La última presión para abandonar esta práctica proviene del NIST, que dedica su tiempo a examinar la próxima generación de algoritmos de cifrado y otros estándares, y actualmente está consultando sobre “directrices de identidad digital “, que rigen la forma en que el software y los sitios web verifican a los usuarios.
En esas nuevas normas, el NIST dice que las herramientas y el software en línea “NO DEBEN requerir que los usuarios cambien sus contraseñas periódicamente” por las mismas razones destacadas por Sasse y Woodward.
En 2018 , el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, que forma parte de la Sede de Comunicaciones del Gobierno (GCHQ), publicó documentos en los que advertía a las empresas de que obligar continuamente a los usuarios a crear nuevas contraseñas no era de ayuda. “Cambiar las contraseñas con regularidad perjudica la seguridad en lugar de mejorarla”, afirma el informe. “Es probable que el usuario elija nuevas contraseñas que sean solo variaciones menores de las antiguas”.
El NIST no estaba disponible para hacer comentarios al momento de escribir este artículo, y el NCSC no respondió a las preguntas de New Scientist.
Woodward cree que confiar únicamente en la seguridad de las contraseñas es, en esencia, una “idea terrible” y que la mejor práctica es contar con una autenticación de dos factores que requiera una contraseña y otra capa de seguridad, como un código de un solo uso enviado en un mensaje SMS. “Eso, en realidad, acaba con todos los ataques”, afirma Woodward.Artículo publicado en New Scientist por Matthew Sparkes periodista especializado en ciencia que tiene una licenciatura y una maestría de la Universidad de East Anglia, donde estudió inteligencia artificial y ciencias de la computación.