El hombre que inventó el sistema de contraseñas: “Me arrepiento de cómo lo hice”

La siguiente vez que te veas obligado a restablecer una contraseña después del decimocuarto intento incorrecto, aprieta el puño y grita el nombre de Bill Burr. El hombre que literalmente escribió el libro sobre contraseñas ha admitido que realmente no sabía lo que estaba haciendo en ese momento.

Burr, ex gerente del Instituto Nacional de Estándares y Tecnología (NIST), fue responsable en 2003 de reunir un conjunto de recomendaciones y estándares para crear contraseñas seguras. La “Publicación Especial NIST 800-63. Apéndice A ” probablemente no esté en tu mesita de noche, pero si alguna vez te han pedido crear contraseñas de seis cifras con números aleatorios y mayúsculas, habrás sentido su efecto.

La recomendación del documento acerca de que las contraseñas debían hacerse con mayúsculas y minúsculas, números y caracteres especiales, fue ampliamente adoptado por todas la empresas, desde bancos a organismos gubernamentales. También recomienda que los usuarios cambien sus contraseñas al menos cada 90 días. El problema es que ambos consejos son malos y llevan a contraseñas que son fáciles de romper.

Reglas para contraseñas seguras

 

“Ahora me arrepiento de gran parte de lo que hice”, dijo Burr al diario The Wall Street Journal en una entrevista. Resulta que la mayoría de lo que Burr recomendó se deriva de un documento escrito en los años 1980, antes de la creación de la web. “Al final, [la colección de pautas] era probablemente demasiado complicada para que mucha gente la entendiera bien, y la verdad es que estaba tocando el palo equivocado”.

El problema con la creación de contraseñas respaldadas con símbolos y números es que, mientras algo como “Tr0ub4dor & 3” puede parecer bastante obtuso para no ser adivinado, la realidad es que seguirá patrones predecibles de colocación de números y símbolos. Ilustrado por un cómic bien conocido de XKCD, el ejemplo anterior sólo le llevaría 3 días a un ordenador para romperlo, mientras que una frase hecha de palabras al azar, como “batería correcta de batería de caballo”, le costaría 550 años. Según el WSJ, este cálculo se realiza con expertos en seguridad.

contraseña segura
(Crédito: XKCD)

 

Cambiar las contraseñas regularmente también tiene un problema fundamental, en que la gente tiende a añadir sólo pequeñas adiciones a su antigua contraseña. Añade un “1” o un “!” Al final de una frase de contraseña es también un comportamiento predecible y, lo has adivinado, conduce a códigos débiles que pueden ser fácilmente separados por una ordenador. Por otra parte, hay argumentos del lado opuesto, alegando que deberíamos tener el hábito de cambiar contraseñas. Sólo asegúrate de reemplazarla con algo totalmente diferente, y tal vez considera el uso de un administrador de contraseñas.

El asesor técnico Paul Grassi ha escrito un nuevo conjunto de directrices NIST, quien dijo al WSJ que la organización “terminó de empezar desde cero.” Para ser justos con Burr, 2003 fue una época muy diferente, y los primeros días de Internet estaban llenos de malas decisiones que subestimaron todo el alcance del mundo conectado de hoy. Grassi, por lo menos, piensa que la historia no debe juzgar a Burr duramente: “Él escribió un documento de seguridad que aguantó entre 10 y 15 años. Sólo espero tener un documento que aguante tanto tiempo. ”

Si te ha gustado esta noticia y quieres más, date de alta en nuestra newsletter: