Gurú de las contr@señ@s1!
Para muchos es un ritual engorroso.
Cambiar periódicamente las contraseñas y elegir combinaciones que no sean fáciles de hackear es una recomendación habitual para los usuarios.
Pero tomarse tanto trabajo… no es necesario después de todo, según el mismo experto que inventó esos consejos.
Bill Burr es considerado por muchos el “gurú” de las contraseñas. Fue quien escribió en 2003 la guía más respetada en la materia, cuando trabajaba para el gubernamental Instituto Nacional de Estándares y Tecnología en Estados Unidos, (NIST por sus siglas en inglés).
Sin embargo, 14 años después, Burr asegura que su guía “fue un error”.
“Me arrepiento de la mayor parte de lo que recomendé” dijo Burr en una entrevista al diario estadounidense The Wall Street Journal.
“Creo que probablemente los consejos eran muy engorrosos para mucha gente”, agregó el experto, actualmente jubilado y con 72 años.
Demasiado complicadas
El problema con los consejos de Burr no es que las contraseñas sean fáciles de hackear.
La mayor dificultad es que sus recomendaciones llevaron a muchos usuarios a cometer errores.
En su documento original de ocho páginas titulado “Publicación especial del NIST 800-63, Apéndice A”, Burr aconsejaba a los usuarios combinar minúsculas con mayúsculas, incluir al menos un número y no olvidar algún símbolo especial como @, ! o #.
Una contraseña segura sería por ejemplo “Contr@sseÑ123!”.
Pero algunos usuarios acabaron creando contraseñas tan complicadas que, para no olvidarlas, optaban por escribirlas en notas autoadhesivas y pegarlas a la computadora.
En otros casos las combinaciones de palabras y números eran predecibles y comunes y fáciles de hackear para una computadora.
Usuario 1, 2, 3
Burr también sugirió cambiar las contraseñas periódicamente, al menos cada 90 días.
El consejo fue adoptado por instituciones académicas, agencias gubernamentales y compañías que obligan a sus empleados periódicamente a cambiar sus contraseñas.
Y la exigencia hace que muchas veces los usuarios elijan rápidamente contraseñas débiles para salir del apuro.
Para Burr, el consejo de cambiar la contraseña periódicamente fue un error, ya que la mayoría de la gente acaba alterando sólo una letra o símbolo, pasando de “usuario1” a “usuario2” y así sucesivamente.
Cadenas de palabras
El NIST publicó una nueva guía sobre seguridad en contraseñas en junio y este documento ya no incluye gran parte de los consejos de Burr.
La nueva recomendación es que los usuarios usen “contrafrases” o passphrases, una secuencia de palabras fácil de recordar que no tiene por qué incluir números o símbolos especiales.
Según los expertos, una máquina tardaría miles de años en descifrar una frase como “caballozanahoriahocicoestablo”.
O una combinación fácil de recordar como una imagen visual pero difícil de hackear como “avescomenbananassaltando”.
- La nueva guía de NIST puede verse en esta dirección
“Al final empezamos prácticamente de nuevo”, señaló Paul Grassi, autor de la nueva guía, al The Wall Street Journal.
Pero Grassi cree que Burr es demasiado crítico consigo mismo.
“Él escribió un documento sobre seguridad que fue relevante durante más de 10 años. Ojalá la guía que yo escribí sea vigente durante tanto tiempo”.