Una encuesta reciente ha demostrado que dos tercios de las empresas no cambian las contraseñas. El razonamiento detrás de esta estadística es aún más preocupante, ya que más de la mitad de los empleados evitan hacerlo porque les preocupa olvidar sus nuevas contraseñas, piensan que esta práctica es molesta o simplemente no ven el sentido de hacerlo.
Las políticas de administración de contraseñas saludables y sólidas son esenciales. Tanto las empresas como los empleados deben comprender la importancia de implementar prácticas adecuadas de contraseñas. El Instituto Nacional de Estándares y Tecnología (NIST) proporciona pautas de contraseña que se consideran el estándar de oro para el cumplimiento general de privacidad y seguridad de datos en los EE. UU.
A principios de este año, los funcionarios del NIST se burlaron de posibles cambios en sus recomendaciones de seguridad. Con eso en mente, queremos echar un vistazo a las pautas actuales de contraseñas de NIST para 2021 para ayudarlo a reconocer las mejores prácticas de contraseñas para protegerse contra las amenazas de seguridad cibernética actuales.
Pautas de contraseña del NIST
Desde 2014, el Instituto Nacional de Estándares y Tecnología ha emitido pautas, recomendaciones y controles para la autenticación de identidad, incluidas prácticas óptimas de política de contraseñas.
Estas pautas han evolucionado a lo largo de los años, ya que ha habido varias revisiones, sobre todo en 2017 y 2019. Las pautas de contraseñas de NIST cubren prácticas cruciales para crear y administrar contraseñas y requisitos para la validación de estas contraseñas.
El objetivo principal de las pautas de contraseñas del NIST es crear una fuerte seguridad de contraseñas para usuarios y empresas y controlar estrictamente el acceso privilegiado. Estas pautas permiten a las organizaciones y empresas protegerse mejor contra el relleno de credenciales, los ataques de fuerza bruta y otros intentos de intrusión. Con todo eso en mente, primero echemos un vistazo a las recomendaciones de contraseñas obsoletas y luego pasemos a las últimas pautas del NIST para contraseñas para 2021.
Recomendaciones de contraseñas obsoletas
La mayoría de las empresas aplican prácticas de contraseña obsoletas, basadas en un conjunto de criterios fundamentales. Estos criterios generalmente incluyen tres pautas principales de seguridad de contraseñas:
- Forzar cambios regulares de contraseña
- Requerir que cada nueva contraseña sea única y que no se haya usado antes de ninguna forma
- Asegurarse de que cada contraseña sea compleja y consista en caracteres alfabéticos (minúsculas y mayúsculas) y numéricos, y otros símbolos especiales
Estas pautas son ampliamente aceptadas por muchas empresas y se han utilizado durante décadas. Si bien no hay nada intrínsecamente malo con las políticas mencionadas anteriormente, no son lo suficientemente sofisticadas para admitir los requisitos de seguridad modernos.
El hecho de que alrededor del 57 % de las personas sigan empleando estas prácticas obsoletas significa que la puerta para phishing y ataques de malware aún está abierta para los atacantes. Nos hemos acostumbrado a las recomendaciones obsoletas y necesitamos aplicar nuevas prácticas de gestión de contraseñas para garantizar la máxima seguridad. Esto nos lleva al siguiente tema crucial
Recomendaciones de contraseña actualizada
NIST ha publicado un conjunto revisado de pautas que cubren las prácticas de seguridad recomendadas que mejor se aplican al entorno actual. Este tema requiere un artículo completo propio, por lo que no entraremos en todos los pequeños detalles. Dicho esto, queremos echar un vistazo de cerca a las últimas recomendaciones de contraseñas relacionadas con las prácticas de seguridad existentes:
Caracteres alfanuméricos
Parece que el sistema de contraseñas alfanuméricas ha existido desde las propias contraseñas. Combinar letras minúsculas y mayúsculas con números y caracteres especiales para hacer que una contraseña sea más fuerte es una práctica que casi todos los sistemas de seguridad emplean hoy en día.
Sin embargo, las pautas de contraseñas del NIST establecen que este sistema no necesariamente genera contraseñas más sólidas y seguras.
Las nuevas pautas de contraseñas del NIST enfatizan un sistema más dinámico, en el que los usuarios crearían sus contraseñas comparando sus nuevas contraseñas con contraseñas débiles y aquellas que provocaron filtraciones.
Longitud de la contraseña
La práctica actual es que las contraseñas deben tener entre 8 y 10 caracteres. Este es uno de los aspectos esenciales que deben cambiarse, ya que las pautas de contraseñas del NIST recomiendan que se permitan contraseñas de al menos 64 caracteres.
Tener una contraseña tan larga puede parecer un inconveniente. Sin embargo, recordar una oración única como contraseña es mucho más fácil que usar un galimatías compuesto de números y caracteres aleatorios.
Sugerencias de contraseña
«¿Cuál era el nombre de tu mascota de la infancia?» y «El nombre de su primer maestro» son sugerencias de contraseñas que los usuarios utilizan todos los días cuando necesitan recuperar una contraseña que han olvidado. Sin embargo, la calidad de estas sugerencias de contraseña a menudo deja mucho que desear, especialmente en la era de las redes sociales sobreexpuesta de hoy.
Las nuevas pautas de contraseñas del NIST aconsejan que los usuarios se desvíen de las sugerencias de contraseñas. En su lugar, deberían utilizar autenticación multifactor como un método más avanzado y seguro de seguridad de contraseñas.
Puede configurar el MFA para que lo identifique según su huella digital, certificado digital, token de hardware, ubicación, hora y mucho más. Este es un paso de seguridad que es mucho más difícil de piratear y reduce significativamente el riesgo de que se filtren sus datos.
Cambios de contraseña forzados
Las nuevas pautas de contraseñas del NIST disminuyen el valor de los cambios de contraseña forzados programados. Apoyan esta postura argumentando que la debilidad del usuario para buscar patrones de contraseña, como cambiar solo algunos números o cambiar caracteres, debilita la contraseña y hace que el cambio no sea tan significativo como debería ser. Además, si los piratas informáticos ya tienen la información del usuario y el usuario solo hace pequeños ajustes a la contraseña existente, el cambio de contraseña forzado no tiene sentido.
Copiar y pegar contraseñas
Sorprendentemente, esto es algo de lo que el NIST ha cambiado por completo su perspectiva desde la última revisión. Anteriormente, el instituto estaba completamente en contra de habilitar las funciones de copiar/pegar al escribir contraseñas. Sin embargo, las nuevas directrices pretenden revertir esta recomendación.
El razonamiento detrás de este cambio de recomendación es que tener que copiar y pegar contraseñas complejas solo alentará a los empleados a no usar contraseñas más simples sino a cambiar a administradores de contraseñas. Estos administradores de contraseñas les permitirían generar y almacenar contraseñas aleatoriamente para un uso conveniente sin comprometer su seguridad.
La importancia de los administradores de contraseñas y 2FA
La mejor manera de garantizar la máxima privacidad y seguridad de sus contraseñas es implementar dos prácticas: emplear un administrador de contraseñas y usar autenticación de dos factores. Cuando se trata de esto último, todos están de acuerdo en que el uso de la autenticación de dos factores agrega una capa de seguridad muy sólida a su información. Todos los expertos están de acuerdo en que los inicios de sesión sin contraseña son el camino hacia el futuro. Es solo cuestión de tiempo que las empresas adopten este método de autenticación.
Sin embargo, cuando se trata de administradores de contraseñas, aquí es donde los expertos se encuentran en una encrucijada. Para algunos, los administradores de contraseñas son una herramienta necesaria y muy conveniente para garantizar la privacidad y la seguridad. Para otros, son solo una herramienta para enmascarar el problema general al almacenar las contraseñas detrás de otra contraseña.
Esto se debe a que es difícil encontrar generadores de contraseñas NIST que cumplan con todos los estándares y requisitos. Lo mejor que puede hacer es encontrar un generador y administrador de contraseñas confiable y seguro para proteger sus datos valiosos y evitar que caigan en las manos equivocadas.
Por esta razón, usar claves habilitadas para Bluetooth todo en uno compactas como la Hideez Key 3 o Hideez Key 4 es una solución simple y elegante para sus necesidades de gestión de contraseñas. Le permite almacenar hasta 2000 credenciales de inicio de sesión y contraseñas en una bóveda de hardware. Además, sirve como una clave de seguridad multifuncional que lo ayuda a generar contraseñas únicas y sólidas y contraseñas de un solo uso para la autenticación de múltiples factores.
La mejor parte es que dicha solución de administración de contraseñas se puede implementar no solo para necesidades personales, sino también para uso empresarial, ofreciendo muchas más funciones valiosas que encajarían perfectamente en un entorno multiusuario. Para obtener más información, contáctenos o solicite un piloto personalizado gratuito: