Pautas para mantener contraseñas seguras en tu empresa

Las contraseñas, ese gran olvidado. Las utilizamos ampliamente para securizar los sistemas informáticos en la empresa, lo que incluye nuestros propios secretos y, lo que es peor, los de los clientes. Y normalmente son nuestros usuarios finales quienes deben hacer un buen uso de ellas.

Por eso vemos tan a menudo contraseñas inseguras como 123456”, “qwerty”, “abc123” o el nombre de nuestra mascota, con suerte unido a un par de números. Hay que dejar claro que tener una contraseña de esta clase nos ofrece un nivel de seguridad similar a no tener una contraseña.

El problema siempre llega por el mismo lado: al usuario medio le horroriza pensar que tiene que establecere contraseñas únicas, formadas por decenas de caracteres «al tuntún» que carecen de sentido y, por tanto les son imposibles de recordar. Llegados a este punto lo que nos interesa es construir una normativa que permita mantener contraseñas seguras en la empresa, sin dejar de ser amigable para el usuario.

Este es precisamente el reto que ha afrontado el National Institute of Standards and Technology -el NIST- para así proporcionar unas pautas que el gobierno federal pueda poner en marcha a nivel nacional. Se trata de la normativa de otro país, pero después de revisarla en detalle he encontrado cosas que podemos aprovechar todos aquellos gestores que tenemos que asegurar el cumplimiento de este tipo de normativas.

Las siguientes normas sobre seguridad en contraseñas fueron anunciadas en un evento en Las vegas el pasado mes, de la mano de Jim Fenton, y contemplan mejoras a adoptar en las normas de obligado cumplimiento para mantener contraseñas protegidas en los diferentes departamentos del gobierno de la Administración Obama.

El objetivo del NIST es que este documento sirva como plantilla también para organizaciones y desarrolladores de otros países con los que colaboran. Veamos ahora las proposiciones.

Pautas para mantener contraseñas seguras en tu empresa

Longitud máxima de contraseña

El NIST estima que las contraseñas deberían ser de al menos 8 caracteres de longitud. Esto no es un mínimo máximo, pues niveles de privilegios o criticidad mayorees exigirían valores mayores. Nada nuevo bajo el sol en cuanto a esto, ya deberíamos saber que el coste y tiempo de crackeo para una contraseña aumenta exponencialmente a medida que lo hace su longitud (si es por fuerza bruta).

Lontigud máxima de contraseña

Si hubiera que establecer un límite máximo para las contraseñas, debería ser de al menos 64 caracteres. Esto debería satisfacer los requerimientos de los especialistas con necesidades más estrictas dentro de la organización, aquellos más concienciados y que se enfurecen cuando un formulario les dice que no pueden introducir una credencial de más de 16 caracteres.

Por otro lado, forzar al usuario a que utilice un límite mínimo de 64 caracteres conlleva que el usuario escoja frases clave en lugar de contraseñas. El valor de 64 no es casual, sino que se adoptó porque encajaba en diferentes resoluciones de pantalla.

Sin caracteres prohibidos

Se desaconseja absolultamente prohibir determinados símbolos o caracteres especiales en las contraseñas. Después de todo, ¿no sería limitar nuestra propia seguridad al reducir la variedad posible? Lo ideal es incluso permitir caracteres de tipo UNICODE, ideales para los amantes de los emojis.

Dado que la web o aplicación creará un hash, salteará y modificará la entrada de contraseña, los ataques de tipo inyección SQL no deberían ser un problema aquí.

El uso permitido de espacios es conveniente para conseguir una escritura más natural en frases clave, más que en contraseñas, aunque podrían ser regulados para evitar repeticiones de espaciado accidentales por parte del usuario.

Prohibición de contraseñas comunes

Las aplicaciones y sitios web deberían comparar las contraseñas propuestas por el usuario frente a un diccionario de contraseñas ya conocidas por su debilidad. Es decir, descartar de inicio contraseñas ridículamente inseguras como contraseña123, qwerty o similares.

Hay disponibles listas con decenas de millones de contraseñas comprometidas, pero los diccionarios de tales tamaños podrían ser improductivos y llevar a los usuarios de una contraseña paupérrima como «contraseñainsegura» a otra igualmente pobre como «contraseñainsegura1», para saltar dichas medidas de seguridad.

Lo que ha hecho Jim Fenton en su presentación es proponer un diccionario de aproximadamente 100000 muestras de contraseñas inseguras, aunque es necesario definir mejor la propuesta e investigar.

Se acabaron los indicios de contraseña

El problema con los indicios de contraseña -esas pistas que nos dan y que pueden ser útiles en caso de no tener idea acerca de la contraseña actual- es que debilitan considerablemente la seguridad en la autenticación. Si no permitimos al usuario guardar indicios de contraseñas, no hay posibilidad de que un tercero pueda abusar de esta facultad, que en combinación con otros datos sobre nosotros podría suponer un problema.

Sin reglas de composición

Deberíamos, en opinión del NIST, dejar de forzar al usuario a incluir un determinado número de caracteres numéricos, así como de símbolos o de letras mayúsculas o minúsculas en sus contraseñas. Dichas reglas pueden llevar igualmente a la elección de una contraseña insegura (sirva «Contr4s€ña» como ejemplo) y en su opinión es más productivo dejar que el usuario tenga libertad para aplicar la imaginación.

Respecto a esta recomendación tengo algunas reservas. Mientras de un lado entiendo que dichas reglas no tienen necesariamente que ser beneficiosas, pienso que es necesario garantizar la fortaleza de la misma de alguna forma. Si no es así, la única forma razonablemente segura sería cotejar la credencial contra una base de datos online en tiempo real y emitir una puntuación de seguridad.

Es decir, podríamos optar por lanzar una consulta de forma automática desde el formulario hacia un servicio como howsecureismypassword y, en base a la fortaleza calculada, aceptar la contraseña del usuario si cumple el mínimo establecido por nosotros.

Adiós a los cambios periódicos de contraseña

Al menos, si no tenemos indicios que sugieran que las credenciales hayan estado expuestas. Muchos expertos piensan a día de hoy que es apropiado cambiar nuestra contraseña periódicamente. Sin embargo, las pruebas y volcados de contraseñas que acaban filtrándose a la red muchas veces prueban que esta práctica lleva a los usuarios a escoger contraseñas cada vez menos seguras.

Por supuesto, si tenemos indicios de que se ha podido filtrar deberíamos cambiarla inmediatamente.

Abandono del segundo factor de autenticación vía SMS

Lo que el NIST propone es ir haciendo hueco a otros sistemas de autenticación en dos factores, abandonando lo antes posible el método tradicional del SMS. Aunque cómodo para muchos, ha demostrado padecer vulnerabilidades que desaconsejan su uso. En su lugar, podemos decantarnos por sistemas como apps -Google Authenticator y similares para empresas grandes- o bien utilizar una llave USB segura, como las Yubikey.

Hasta aquí el artículo de hoy. Para más consejos para mantener contraseñas seguras en tu empresa recuerda visitar las diapositivas de Fenton.