Cambiar la contraseña cada cierto tiempo ya no es buena idea. Los expertos en seguridad tienen sus razones

El NIST ha lanzado nuevas recomendaciones sobre cómo debemos gestionar nuestras contraseñas de los servicios

A día de hoy es imprescindible tener una contraseña, o varias, para poder acceder a las diferentes webs y servicios que consumimos. Una combinación de letras, números y símbolos conforman estas contraseñas que deben ser lo más seguras posible. Incluso también se ha llegado a normalizar el hecho de tener que ir actualizando de manera periódica la contraseña porque supuestamente ha "caducado", teniendo que inventar una nueva que cumpla con estos requisitos.

Pero esto es algo obsoleto. Así lo ha sentenciado el Instituto Nacional de Estándares y Tecnología (NIST). Una organización de Estados Unidos que tiene como objetivo lanzar recomendaciones de cómo poder tener cuentas lo más seguras posible.

Un vistazo a…
Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras

Actualizar las contraseñas es una práctica condenada al pasado

Para poder ver las últimas recomendaciones lanzadas debemos irnos al Borrador Público Inicial de las Directrices de Identidad Digital que dice lo siguiente:

  • "Los verificadores y los CSP no deberán imponer otras reglas de composición para las contraseñas".
  • "Los verificadores y los CSP no exigirán a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores deberán forzar un cambio si hay evidencia de compromiso del autenticador".

Lo que vienen a decir con este texto, es que a día de hoy son muchos los servicios donde estamos registrados. Y ya las contraseñas no es el único sistema de identificación que tenemos en nuestro poder. Ahora mismo contamos con sistemas de verificación de doble factor o las Passkeys que están haciendo que sea nuestra cara o la huella dactilar la contraseña que usemos para entrar a los servicios digitales.

De esta manera, cuando se nos pide actualizar la contraseña para un periodo corto de tiempo, vamos a tener a colocar contraseñas débiles que sean fáciles de recordar. Pero en cambio, si usamos una contraseña que sabemos que no vamos a tener que cambiar la haremos más robusta y larga.

Lo verdaderamente importante es contar con una contraseña lo suficientemente larga, aunque solo tenga letras mayúsculas y minúsculas. Si atendemos al informe de Hive Systems que muestra cuánto se tardaría en descifrar una contraseña a fuerza bruta, el hecho de tener una contraseña de 12 o 13 caracteres con letras mayúsculas y minúsculas tardaría 2.000 y 75.000 años respectivamente en descifrarse.

Ahora mismo, las compañías no están obligadas a aplicar estas recomendaciones del NIST para sus servicios digitales. Si bien, marca un precedente para eliminar prácticas anticuadas y hacer que una contraseña sea para siempre y también que se enfoquen en el uso de Passkeys como sustituto de las contraseñas tradicionales.

Imágenes | Towfiqu barbhuiya Kris

En Genbeta | Si tu contraseña está en esta lista, tus datos están en peligro: cuatro consejos para crear una más segura

Ver todos los comentarios en https://www.genbeta.com

VER 4 Comentarios

Portada de Genbeta