Tus complicadas contraseñas son fácil de adivinar
8 caracteres:
* Al menos uno que sea una letra mayúscula
* Al menos uno que sea un número
* Al menos uno que sea una letra minúscula
* Al menos uno que sea un carácter especial
* Prevenir que sean palabras comunes de diccionario
* Prevenir que sean permutaciones y combinaciones de nombre de usuario o de contraseñas anteriores
¿Te suena familiar? Seguro que sí. Este es el esquema que hoy en día se requiere para que una contraseña sea “segura”. Pues hoy nos enteramos que todo esto es una mentira, o al menos, es algo que se definió sin tener el conocimiento necesario para ser liberado como una recomendación. Así es como se revela en una nota de Agosto 7 en The Wall Street Journal, Bill Burr menciona que las recomendaciones que generó en 2003 para el National Institute of Standards and Technology en el cual nos dice “qué hacer” para tener contraseñas seguras y fuertes, está mal.
En el documento NIST Special Publication 800–63. Appendix A: Estimating Password Entropy and Strength, nos dice que es la entropía de las contraseñas, como se calcula y un montón de información que suena a todas luces estudiada y certera (y que es muy educativo, por cierto), bueno, pues el mismo Burr dice que todas esas recomendaciones hacen a nuestras contraseñas realmente más vulnerables y son mucho más difíciles de recordar para un humano, no de descifrar por un sistema computarizado, esto se puede traducir en costos del tiempo perdido por estar tratando de recordar nuestra contraseña en el esquema de prueba-error o en usar el famoso “Recordar contraseña”.
Además de esto, Burr recomendó que las contraseñas se cambien cada 90 días, o sea, la cosa se pone más complicada, porque apenas me aprendí la complicada contraseña que generé, es cuando la tengo que cambiar. Lo mejor de todo esta broma, es que la práctica se extendió por todos lados, en todos los ámbitos.
En Septiembre del 2015 la en una nota de The independient menciona que la Agencia de Espionaje Británica dijo que dejáramos de usar esas contraseñas “difíciles de adivinar”, ya que estas contraseñas no eran realmente complicadas de adivinar para un sistema computarizado, sino que sí eran un dolor de cabeza para los usuarios el tener que recordarlas. Pero al parecer nadie le prestó mucha atención…
Sobre las declaraciones de Burr existe un gran problema, este problema es de es conocimiento, y es el conocimiento de Burr, él no era experto criptográfico y menos un experto en seguridad cuando definió su recomendación (yo tampoco lo soy dicho sea de paso) y hoy en día ya con 72 años, Burr admite “me arrepiento de lo que hice” ya que su “investigación” y su recomendación la derivó de un White Paper de la década de los 80, o sea, antes de que la computación “moderna y poderosa” como la conocemos se hubiera desarrollado.
El problema al final lo resumen XKCD en una caricatura en al cual, una contraseña fácil de recordar compuesta por cuatro palabras es más difícil de adivinar por sistemas computarizados, que una contraseña difícil de recordar.

El NIST en Junio saco una nueva recomendación, en la cual sugiere que en lugar de esas complicadas contraseñas que nadie recuerda, mejor se uses frases de varias palabras, si quieres ver el documento puedes revisarlo acá: NIST Special Publication 800–63B. Digital Identity Guidelines. Authentication and Lifecycle Management.
Así que la recomendación para la gente de Seguridad y de Desarrollo es la misma con forme pasa el tiempo: haz la vida fácil al usuario; déjalos poner contraseñas que ellos puedan recordar, tal vez incluyes lo de la mayúscula y lo restringes a un mínimo de equis número de palabras, si eso alivia la panonia, pero en definitiva, esas contraseñas crípticas, no sirven, a menos que sean generadas por un sistema criptográfico de generación de contraseñas y no por nuestra imaginación.
¿Qué opinas? ¿Cambias tu contraseña por una que puedas recordar o sigues con la mnemotecnia para tratar de acordarte de que contraseña es la que tienes que usar?
