Las contraseñas, o secretos memorizados, se definen como “algo que usted sabe”, pero a menudo la gente se enfrenta al mismo problema cuando se le pide escribir su contraseña: “Oh no, no me sé mi contraseña”.
En este blog exploraremos el problema de gestionar contraseñas y de quienes buscan autenticar la identidad digital de un usuario. Continuaremos después con el análisis de los Lineamientos para las Identidades Digitales actualizados del Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology) de Estados Unidos, los cuales proponen, entre otras cosas, que las frases de contraseñas (passphrases) reemplazan a las contraseñas.
Es difícil conocer a ciencia cierta la cantidad de contraseñas que la gente tiene que recordar para tener acceso a sus cuentas y dispositivos, pero LastPass descubrió que la gente que utiliza su servicio de gestión de contraseñas maneja en promedio 191. En 2017, Pearman et al. utilizó un software de captura de datos para examinar de qué manera la gente utiliza las contraseñas en la vida real durante 150 días. Descubrieron que las personas utilizaban contraseñas en 26 dominios en promedio, con una relación promedio de 2.39 contraseñas por dominio. Este estudio también demostró que la gente no sólo reutiliza contraseñas exactas, sino que también las reutiliza parcialmente (por ejemplo, Password123, Pass123!) ya que cerca del 40% de los participantes reutilizó el 80-90% de sus contraseñas, o lo hizo parcialmente.
En general, los problemas de seguridad asociados con las contraseñas siguen siendo complicados debido a que los usuarios continúan creando y reutilizando contraseñas que pueden explotarse o deducirse fácilmente para hacer más sencillo memorizar tantos secretos distintos.
En junio de 2017, los Lineamientos para las Identidades Digitales actualizados del NIST (NIST SP 800-60-3) introdujeron cambios importantes a las recomendaciones previas. El motor detrás de estos cambios se enfocó en los usuarios, pues a menudo la experiencia dicta si la gente seguirá las reglas o si crearán soluciones alternas que pudieran impactar negativamente a la seguridad. Se debe tener en cuenta que con frecuencia sus usuarios pudieron haber añadido un signo de exclamación y un número 1 en el momento de generar una nueva contraseña para evitar ver un mensaje de advertencia que sugiere que la contraseña no es lo suficientemente compleja. También muestran un cambio de responsabilidad de los usuarios individuales a las compañías y sistemas que verifican las identidades. Sin embargo, estos cambios también resaltan la necesidad de establecer expectativas reales para la seguridad exclusiva de las contraseñas, ya que muchas cuentas, dominios y dispositivos deben requerir la autenticación de dos o múltiples factores.