Seguridad de contraseñas - ¿Una causa perdida?
Común a todas las optimizaciones es el deseo de más seguridad.
A más tardar con la llegada de los modernos descifradores de contraseñas, es posible estimar con mucha precisión cuánto tiempo se tardará en descifrar una contraseña utilizando la fuerza bruta para una longitud de contraseña dada y un conjunto de caracteres fijo.
La idea es sencilla: cuanto más compleja y larga sea la contraseña, más tiempo se tarda - y más segura es la contraseña. Esta es la opinión común...
Por desgracia, el problema no es tan unidimensional. Mientras tanto, varios factores desempeñan un papel muy importante en la seguridad de las contraseñas.
¿Es bueno?
Mientras tanto, se observa una tendencia hacia unas directrices más laxas en materia de contraseñas. Menos en cuanto a la longitud de la contraseña, más en cuanto al conjunto de caracteres exigidos.
Mientras que algunos lo tachan de "poco seguro", yo veo algo diferente: al fin y al cabo, introducir contraseñas con caracteres especiales en un dispositivo móvil lleva mucho tiempo. Así que solo se piden caracteres que sean fáciles de alcanzar en el teclado estándar de los smartphones.
Esta decisión tiene más sentido si se tiene en cuenta la situación de los servicios de asistencia.
Las contraseñas difíciles de introducir en un dispositivo móvil suponen un esfuerzo mucho mayor para la asistencia al usuario. Para contrarrestarlo, a veces se relajan las directrices...
¿Demasiado bienintencionado?
La investigación sobre el descifrado eficaz de contraseñas está muy avanzada.
La investigación sobre el paso anterior -la cuestión de cómo "ideamos" las contraseñas los seres humanos- no ha hecho más que empezar.
Un estudio reciente de la Universidad de Carolina del Norte concluye que cambiar las contraseñas con demasiada frecuencia y establecer requisitos demasiado estrictos tiene más probabilidades de perjudicar la seguridad que de ayudarla.
Entonces, los usuarios tienden a seguir utilizando la contraseña "antigua" con modificaciones sencillas - y, por ejemplo, sólo cambian las mayúsculas/minúsculas o añaden más caracteres.
En este contexto, los investigadores han desarrollado procedimientos que permiten probar numerosas modificaciones frecuentes de una contraseña básica existente y alcanzar así el objetivo mucho más rápidamente.
¿Suficiente?
En muchos cursos de formación sobre seguridad, se inculca a los usuarios que utilicen contraseñas diferentes para los distintos accesos y que separen los asuntos privados de los profesionales.
Pero el hombre es un animal de costumbres, la realidad se ve de otra manera.
Hay que suponer que muchos también utilizan contraseñas iguales o similares para sus cuentas privadas. Esto hace que, de repente, el pirateo de un proveedor externo sea relevante, especialmente si las contraseñas se roban en texto plano.
Esto se debe a que los atacantes disponen de una gran base de contraseñas básicas de un plumazo, que pueden probar simplemente con modificaciones contra el acceso de la empresa.
Bien está lo que bien acaba...
El ejemplo de las contraseñas demuestra que la seguridad no es un proceso técnico unidimensional. Las decisiones técnicas influyen directamente en otras dimensiones, en las personas y en los procesos.
Una decisión que hace que el sistema sea más seguro desde un punto de vista técnico puede tener un impacto masivo en otras dimensiones, de modo que la seguridad del sistema global puede resentirse.
¿Realmente es necesaria la contraseña de máxima seguridad con caracteres especiales para todos los servicios, o la autenticación no es también adecuada al nivel de confidencialidad?suficientemente bueno"?
O, por otro lado, ¿el hecho de modificar la contraseña no soluciona simplemente el síntoma? En algunos casos, la autenticación mediante dos factores o biométrica puede tener sentido.
La decisión sobre cómo proteger qué accesos depende del personal, los servicios, los procesos y las posibilidades técnicas.
Y esta decisión debe tomarse en última instancia tras una evaluación de riesgos que tenga en cuenta algo más que la dimensión técnica.
Aquí no hay un acierto o un error general: las decisiones siempre tienen que verse en el contexto de la finalidad del uso y la voluntad de asumir riesgos. Y esto se aplica tanto a las contraseñas como a otras técnicas y procesos de seguridad informática.