NIST Propone Actualizar Políticas de Contraseñas para Mejorar la Seguridad Digital

El Instituto Nacional de Estándares y Tecnología (NIST), la agencia federal responsable de establecer estándares tecnológicos para organismos gubernamentales, organizaciones de estandarización y empresas privadas, ha propuesto eliminar algunas de las políticas de contraseñas más confusas y contraproducentes. Entre los cambios principales se encuentran: poner fin a los reinicios de contraseña obligatorios, restringir el uso de ciertos caracteres y discontinuar el uso de preguntas de seguridad.

Crear contraseñas seguras y gestionarlas de manera eficaz es uno de los aspectos más difíciles de la ciberseguridad. Esta tarea se complica aún más con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. Si bien estas normas se implementan con la intención de mejorar la seguridad, a menudo logran el efecto contrario. A pesar de ello, dichos requisitos siguen siendo ampliamente aplicados.

NIST ha publicado el segundo borrador público de su guía actualizada de Identidad Digital, conocida como SP 800-63-4. Este documento, de 35,000 palabras y cargado de lenguaje técnico y burocrático, detalla tanto los requisitos técnicos obligatorios como las mejores prácticas recomendadas para la autenticación de identidades digitales. Cualquier organización que trate con el gobierno federal en línea debe cumplir con estos estándares.

Una sección enfocada en contraseñas introduce varios cambios muy necesarios y sensatos a las políticas tradicionales. Una actualización notable es la eliminación de la obligatoriedad de cambiar contraseñas de manera regular. Esta política, que se originó hace décadas cuando la seguridad de las contraseñas no se entendía bien, está desactualizada. En ese entonces, las personas a menudo usaban nombres fácilmente adivinables y palabras del diccionario como contraseñas.

Actualmente, los servicios suelen requerir contraseñas más robustas y generadas aleatoriamente o frases de contraseña. Cuando se utilizan contraseñas tan seguras, obligar a los usuarios a cambiarlas cada pocos meses puede debilitar la seguridad. Esta carga adicional lleva a los usuarios a crear contraseñas más simples y fáciles de recordar.

Otra regla problemática es el requisito de usar caracteres específicos, como números, caracteres especiales y letras mayúsculas y minúsculas. Cuando las contraseñas son suficientemente largas y aleatorias, estos requisitos de composición de caracteres no añaden un beneficio real de seguridad. De hecho, estas reglas pueden llevar a los usuarios a escoger contraseñas más débiles.

Las nuevas directrices de NIST ahora establecen:

• Los verificadores y los proveedores de servicios de credenciales (CSP) no deben imponer reglas específicas de composición de caracteres (como requerir una combinación de tipos de caracteres).
• Los verificadores y los CSP no deben requerir cambios periódicos de contraseñas, excepto en casos en los que haya evidencia de un compromiso de seguridad.

(Para mayor claridad, los «verificadores» son entidades que confirman la identidad de un usuario validando sus credenciales, y los CSP son entidades de confianza que gestionan el registro y la asignación de autenticadores).

En versiones anteriores de las directrices, el lenguaje sugería que las organizaciones «no deberían» implementar ciertas prácticas, lo que indicaba que se desaconsejaban, pero no se prohibían. El nuevo lenguaje «no deberán» deja claro que estas prácticas deben ser eliminadas para cumplir con los estándares.

Las directrices actualizadas también incluyen otros cambios:

• Las contraseñas deben tener al menos ocho caracteres de longitud, con una recomendación mínima de 15 caracteres.
• Los sistemas deben permitir contraseñas de hasta 64 caracteres de longitud.
• Todos los caracteres ASCII imprimibles, incluidos los espacios, deben permitirse en las contraseñas.
• Se deben permitir caracteres Unicode, contando cada carácter como una unidad para el cálculo de la longitud de la contraseña.
• No se debe permitir la truncación de contraseñas, es decir, la contraseña completa debe ser verificada.
• Los sistemas no deben ofrecer sugerencias de contraseñas accesibles para usuarios no autorizados.
• La autenticación basada en conocimientos (como preguntas de seguridad) ya no debe usarse.

Reconsideración de prácticas obsoletas

Durante años, los críticos han señalado las fallas y riesgos de muchas de las políticas de contraseñas más utilizadas, sin embargo, bancos, servicios en línea y agencias gubernamentales han mantenido en gran medida dichas prácticas. Si estas nuevas directrices de NIST se finalizan, es posible que no sean de cumplimiento universal obligatorio, pero podrían servir como un argumento convincente para abandonar prácticas obsoletas.

NIST aceptará comentarios públicos sobre el borrador de las directrices hasta el 7 de octubre. Puedes comentar aquí: dig-comments@nist.gov.

Las nuevas recomendaciones de NIST son relevantes para el programa CTPAT (Customs Trade Partnership Against Terrorism), ya que los socios de CTPAT deben cumplir con estándares de seguridad rigurosos en sus sistemas y prácticas de autenticación. Adoptar estas guías actualizadas podría ayudar a los miembros a mejorar la seguridad de sus sistemas de gestión de identidad digital y a estar alineados con las mejores prácticas federales, garantizando un entorno seguro para la cadena de suministro.

Via https://www.linkedin.com/pulse/nist-recommends-new-guidelines-password-security-dhoje/