Contraseñas más largas, y sin imposiciones
El NIST propone un gran cambio: fomentar el uso de frases como contraseñas, ya que son más fáciles de recordar.
Recomienda que no sea obligatorio incluir mayúsculas, minúsculas, números ni caracteres especiales. Aunque esta combinación puede hacer una contraseña más compleja, también puede generar patrones predecibles que la debilitan.
Las pautas actualizadas (SP-800-63-4) sugieren que las contraseñas tengan al menos 8 caracteres, idealmente 15, y un máximo de 64.
Además, el NIST recomienda permitir el uso de todos los caracteres ASCII imprimibles, caracteres Unicode y el espacio en las contraseñas.
Adiós a los cambios periódicos y a las preguntas basadas en conocimiento
En otro punto importante de sus nuevas directrices, el NIST sugiere no solicitar cambios periódicos obligatorios en las claves. Esto responde a que mientras mayor sea la frecuencia con que se le pide a los usuarios cambiar sus contraseñas, éstas serán mucho más débiles.
Sí aclaran que la actualización obligatoria debe tener lugar cuando haya alguna evidencia de que dicha credencial ha sido comprometida.
Además, recomiendan eliminar como mecanismo de autenticación preguntas basadas en el conocimiento previo, como el nombre de una mascota o el apellido de nuestra madre. ¿El motivo? Muy simple: esa información puede obtenerse de manera rápida y sencilla mediante la ingeniería social.
Listas negras para las contraseñas débiles y más comunes
Otra de las recomendaciones que se destacan de lo planteado por el NIST es la creación de una lista negra que incluya aquellas claves débiles y de uso común, con el fin de que no puedan ser utilizadas. Y por supuesto, ponderan lo importante que es implementar una capa adicional de seguridad como lo es el doble factor de autenticación, siempre que sea posible.