Muchos todavía hacen sus contraseñas demasiado simples. Shutterstock / Vitalii Vodolazskyi
Durante más de 15 años, ha habido varias predicciones de los líderes tecnológicos sobre la muerte de las contraseñas. Bill Gates lo predijo de nuevo en 2004 y Microsoft tiene lo predijo para 2021. Ha habido numerosas proclamas similares en el medio, junto con la crítica constante de las contraseñas como un medio de protección inadecuado.
Sin embargo, las contraseñas siguen siendo un aspecto común de la ciberseguridad, algo que la gente usa todos los días. Es más, las contraseñas muestran pocas señales de desaparecer todavía. Pero mucha gente todavía los uso mal y parecen desconocer las buenas prácticas recomendadas.
Es muy común para los expertos en ciberseguridad y empresas para culpar a los usuarios por usar mal las contraseñas, sin reconocer que los sistemas permiten sus malas elecciones.
Muchos sitios web no ofrecen una guía inicial sobre cómo elegir las contraseñas que requieren que tengamos, quizás asumiendo que ya sabemos estas cosas o que podemos encontrarlas en otro lugar. Pero el hecho de que la gente persista en el uso de contraseñas débiles sugiere que esta es una visión optimista.
Consejos obsoletos
Además de la falta de orientación, es común encontrar sitios web que imponen requisitos de contraseña obsoletos. Probablemente esté familiarizado con los sistemas que insisten en la complejidad de las contraseñas, al requerir letras mayúsculas, números o caracteres especiales para fortalecer las contraseñas (nuestra respuesta a menudo refleja el video a continuación).
Sin embargo, la orientación actual es permitir la complejidad pero no exigirla, y básicamente considerar la seguridad de la contraseña como sinónimo de la longitud de la contraseña.
La Centro nacional de seguridad cibernética recomienda crear una contraseña larga combinando tres palabras al azar, lo que permite algo más largo y memorable que muchas opciones estándar.
Mis intentos de contraseña
Tampoco es útil que, en lugar de brindar orientación y requisitos desde el principio, muchos sitios solo revelan reglas en respuesta a que intentemos cosas que no están permitidas. Intenté crear una contraseña para uno de esos sitios. La mayoría de mis intentos recibieron comentarios que requerían más acciones, hasta que me decidí por una elección final, que fue aceptada sin quejas. Pero la contraseña que se aceptó, ¡steve !, fue corta y bastante predecible.
Luchando con las reglas. steven furnell, autor proporcionado
Cuando jugué un poco más, se aceptaron otras opciones débiles. Por ejemplo, 1234a !, abcde1 y qwert! todos cumplieron las reglas, al igual que Furnell1, que no es particularmente fuerte, especialmente porque ya ingresé Furnell como mi apellido en otra parte del formulario de registro.
Mientras tanto, las reglas a menudo significan que no podemos usar contraseñas que nuestros dispositivos generan automáticamente para nosotros, o las que podríamos crear nosotros mismos siguiendo la guía actual.
Muchos sitios web no permiten la generación de contraseñas. steven furnell
Algunos sitios parecen pensar que pueden compensar la falta de orientación utilizando técnicas como medidores de contraseñas para calificar nuestras elecciones. Sin embargo, si bien estos brindan retroalimentación, no sustituyen a brindar orientación sobre cómo se ve lo bueno.
Usando otro sitio, ingresé una contraseña deficiente (la palabra contraseña), y el único comentario que recibí fue que la contraseña es muy débil. Si un usuario realmente estaba ofreciendo esta contraseña como un intento, lo que necesita saber es por qué es débil. Si bien, sin duda, puede encontrar algunos sitios que brindan comentarios mejores y más informativos, desafortunadamente este ejemplo es representativo de muchos otros.
Reglas para seguir
Por supuesto, habiendo resaltado la falta de una guía efectiva, sería negligente terminar sin ofrecer alguna. La guía del NCSC sobre la elección y el uso de contraseñas se enumeran y explican brevemente a continuación:
- Utilice una contraseña segura y separada para su correo electrónico, ya que esta suele ser su ruta para acceder a otras cuentas.
- Cree contraseñas seguras utilizando tres palabras aleatorias; esto le dará contraseñas más seguras y memorables.
- Guarde sus contraseñas en su navegador; esto evita que las olvide o las pierda.
- Active la autenticación de dos factores: esto agrega un elemento adicional de protección incluso si su contraseña está comprometida.
Es útil complementar esto con recordatorios adicionales para no usa la misma contraseña a través de varias cuentas por temor a que una violación de una lleve a la violación de todas, no para compartirlas con otras personas porque entonces ya no es su contraseña, y no para mantener un registro detectable de ellas. Almacenarlos en una ubicación protegida, como una herramienta de administración de contraseñas, está bien.
Es preocupante pensar que las contraseñas han existido durante décadas y todavía nos equivocamos. Y son solo un aspecto de la ciberseguridad que debemos utilizar correctamente. Esto no es un buen augurio para la ciberseguridad en general.
Sobre el Autor
steven furnell, Profesor de Ciberseguridad, Universidad de Nottingham
libros_seguridad
Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.
