Contenido
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- La disonancia cognitiva y la mentalidad de rebaño
- Nuevas normas NIST: ¿Qué hay dentro?
- ¿Por qué es mejor una frase de contraseña?
- No hay pistas!
- ¡No, no es Waffle House! Salazón, Hachís y Estiramiento
- Implementación práctica: quedan algunos desafíos
- Comida para llevar
Fuente: designer491 / iStockphoto
Para llevar:
Las nuevas reglas NIST hacen que los usuarios respiren aliviados con las políticas de contraseña
Hay grandes cambios en el camino que tanto a los administradores de sistemas como a los usuarios habituales les encantarán: tienen que ver con los protocolos de contraseña.
Las contraseñas son una realidad, la mayoría de nosotros tenemos demasiadas. No podemos recordarlos a todos, y casi no hay forma de seguirlos a menos que empecemos a escribirlos. Otra alternativa es recordar las contraseñas que usa regularmente y solicitar restablecimientos de contraseñas cuando necesite acceder a otros sitios, ¡pero eso es un montón de restablecimientos de contraseñas! Expertos como Cormac Herley, un investigador de Microsoft, han quedado en el registro hablando de los enormes costos de tiempo del restablecimiento de contraseñas, y cómo puede costarles a las grandes empresas millones de dólares cada año. También les cuesta a los usuarios millones de minutos, picoteando el teclado, ya sea que estén tratando de ver datos personales, suscribirse a un servicio o comprar algo en una tienda de comercio electrónico.
Entonces, ¿qué podemos hacer? ¿Y cuáles son los aspectos más obstructivos y molestos de nuestro uso de contraseña que nos hacen querer lanzar nuestras computadoras y dispositivos por la ventana?
Nuevos informes muestran que, como sociedad, podemos estar a punto de deshacernos de algunos de estos molestos problemas de contraseña. Continuando con una nueva investigación sobre ciberseguridad, es probable que avancemos más allá de algunos de los estándares de seguridad actuales que nos han causado tanto estrés en los últimos años.
Un artículo en el Wall Street Journal llega al extremo de sacar al sujeto detrás de algunas de estas reglas y obtener su opinión sobre por qué ya no son necesarias.
El 7 de agosto de 2017, el escritor de WSJ Robert McMillan entregó una bomba en forma de una pieza de investigación sobre Bill Burr, autor de un artículo de 2003 que terminó teniendo grandes efectos en los estándares de contraseña corporativa. Burr trabajó en el Instituto Nacional de Estándares y Tecnología, la agencia federal encargada de evaluar la innovación tecnológica en los EE. UU.
"El hombre que escribió el libro sobre administración de contraseñas tiene una confesión que hacer", comienza el lede de la pieza de McMillan. "Lo sopló".
A partir de ahí, el artículo continúa describiendo dos portadores de errores de la era digital que han complicado nuestras vidas. El primero son los requisitos agravantes para incluir caracteres especiales en una contraseña. El otro es cambios frecuentes de contraseña.
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
Ambas prácticas toman mucho tiempo cuando se habla de docenas de contraseñas individuales. Sin embargo, el primero también es un caso clásico de "mala interfaz": simplemente no es intuitivo y obliga a las personas a buscar soluciones.
La disonancia cognitiva y la mentalidad de rebaño
La mayoría de nosotros podemos “sentir” cómo estos estándares de contraseña están causando confusión en nuestros cerebros. Ante la elección muy abstracta de cómo incluir un número y un carácter especial en una contraseña, que de otro modo es una cadena alfabética, muchos de nosotros simplemente saldremos con un "1". Eso realmente no tiende a frustrar a los piratas informáticos. De hecho, cuanto más elijamos las mismas opciones genéricas, más fácil será descifrar nuestras contraseñas. (Obtenga más información sobre los piratas informáticos en ¿La investigación de seguridad realmente ayuda a los piratas informáticos?)
Agregue, además, el requisito de que los usuarios actualicen sus contraseñas cada mes, o cada tres meses más o menos.
El razonamiento detrás de este requisito es que la contraseña anterior debe cambiarse por algo completamente diferente, pero con demasiada frecuencia, no es así como funciona. Al tratar de manejar los latidos cerebrales adicionales de recordar una contraseña nueva, el usuario tomará la contraseña anterior y cambiará una letra o número. Ahora, la contraseña anterior es un "aviso" importante para la nueva, se convierte en una responsabilidad.
Nuevas normas NIST: ¿Qué hay dentro?
Las nuevas reglas que está desarrollando NIST cambiarán todo eso.
La publicación especial 800-63-3 es una actualización de la versión original que logra mucho de lo que algunos expertos dicen que debería haberse implementado todo el tiempo.
Primero, elimina las reglas de composición, como tener que poner un signo de exclamación en su contraseña, y el requisito de vencimientos de rutina.
Lo que NIST 800-63-3 agrega es un enfoque en prácticas de seguridad "realistas".
Las nuevas reglas hacen hincapié en la autenticación multifactor, que los escritores describen como mezclar una contraseña (algo que recuerde) con una llave física o tarjeta de acceso (algo que tiene) o un dato biométrico (algo que es parte de usted). Otras sugerencias incluyen el uso de claves criptográficas y la necesidad de aceptar todos los caracteres ASCII, así como una longitud máxima de 64 caracteres y una longitud mínima de ocho. (Obtenga más información sobre la biometría en Cómo la biometría pasiva puede ayudar en la seguridad de los datos de TI).
En una presentación de diapositivas pública titulada "Hacia mejores requisitos de contraseña", el experto en investigación de seguridad Jim Fenton expone en detalle muchas de estas correcciones como "usted debe" y "no debe", y también explica cómo NIST recomienda crear un diccionario de contraseñas fácilmente pirateables eso debería estar prohibido automáticamente.
"Si no es fácil, los usuarios hacen trampa", escribe Fenton, examinando algunas de las reglas de sentido común que dificultarán que las contraseñas débiles comprometan una red.
Los expertos también sugieren que los usuarios piensen en una "frase de contraseña" o un conjunto de palabras para una contraseña, en lugar de la mezcla de sopa alfanumérica para la que hemos sido capacitados para proporcionar.
¿Por qué es mejor una frase de contraseña?
Hay muchas maneras de explicar por qué una frase de contraseña larga como "burro de bicicleta de huevo total" será una opción de contraseña más segura que algo como "¡MisterA1!", Pero la más simple tiene que ver con una métrica muy comprensible: la longitud.
Una idea central de las nuevas regulaciones del NIST es que, de alguna manera, hemos estado basando nuestra estrategia de contraseña en lo que tiene sentido para los humanos, sin tener en cuenta lo que tiene sentido para las máquinas.
Algunos caracteres aleatorios pueden confundir a los piratas informáticos humanos, pero no es probable que las computadoras se dejen llevar fácilmente por un número o carácter adicional al final de una contraseña. Esto se debe a que, a diferencia de los humanos, las computadoras no leen contraseñas de significado. Simplemente los leen por cadena.
Un ataque de fuerza bruta es cuando una computadora pasa por todas las permutaciones posibles de caracteres para tratar de "entrar" al encontrar la combinación correcta, la seleccionada originalmente por el usuario. Cuando ocurran estos ataques, lo que importará es cuán compleja es su contraseña, y cada carácter adicional agrega una enorme, casi exponencial magnitud de complejidad.
Con eso en mente, una frase de contraseña será exponencialmente más fuerte, aunque "parezca" más fácil para el ojo humano.
Al expandir la longitud máxima de una contraseña a 64 caracteres, las nuevas pautas NIST brindan a los usuarios la seguridad de contraseña que necesitan, sin imponer muchas reglas contradictorias.
No hay pistas!
A muchos administradores les encantará deshacerse de los requisitos especiales de caracteres y de todas esas actualizaciones de contraseñas que requieren mucho trabajo, pero hay otra característica que también está recibiendo el hacha a medida que los profesionales leen las nuevas pautas NIST.
Muchos sistemas solicitan a los nuevos usuarios que agreguen datos sobre ellos mismos a una base de datos durante la incorporación: la idea es que más tarde, si olvidan su contraseña, el sistema puede autenticarlos basándose en un pensamiento sobre su pasado que nadie más conocería. Por ejemplo: ¿Cuál fue tu primer auto? ¿Cuál era el nombre de tu primera mascota? ¿Cuál es el apellido de soltera de tu madre?
Esta es otra de esas tendencias que nos ha resultado incómoda a muchos de nosotros. A veces, las preguntas parecen intrusivas. Además, los escépticos con mentalidad de seguridad señalarán que hay muchos de nosotros que primero condujimos un Chevrolet o, en un ataque juvenil de exuberancia, llamamos a nuestro primer perro "Spot".
Luego está la carga de trabajo de mantener la base de datos y hacer coincidir las respuestas cuando sean necesarias.
Es seguro decir que no muchas personas derramarán lágrimas por la desaparición de las funciones de "sugerencia de contraseña" cuando haya mejores opciones para hacer que la actividad del usuario sea realmente segura.
¡No, no es Waffle House! Salazón, Hachís y Estiramiento
En otras innovaciones, los expertos ahora también recomiendan contraseñas "saladas", lo que implica crear una cadena aleatoria de caracteres antes de un proceso de "hash" que asigna un conjunto de datos a otro, cambiando así la composición de la contraseña y haciendo que sea más difícil romperla. También hay un proceso llamado "estiramiento" que está diseñado específicamente para frustrar los ataques de fuerza bruta, en parte al hacer que el proceso de evaluación sea más lento.
Lo que todas estas funciones tienen en común es que tienen lugar en el ámbito administrativo, no en la punta de los dedos del usuario. El usuario promedio no quiere tener nada que ver con este tipo de procedimientos: solo quiere tener acceso y hacer lo que sea que haya que hacer en un sistema de red, ya sea completar tareas de trabajo, establecer contactos con amigos o comprar o vender algo. en línea. Por lo tanto, al eliminar las reglas de contraseña del "lado del cliente" y hacer que muchos de los administradores de seguridad, las empresas y otras partes interesadas realmente puedan mejorar la experiencia del usuario.
Este es un punto clave, porque mejorar la experiencia del usuario es de lo que se trata mucha innovación tecnológica. Hemos llegado al punto en el que hemos sacado mucha funcionalidad de nuestras computadoras, teléfonos inteligentes y otros dispositivos; gran parte del progreso que haremos en los próximos años implica hacer que las tareas virtuales sean más fáciles de hacer y deshacerse de la basura de una experiencia: como un primer sitio web que no sea móvil, una interfaz con fallas, poca duración de la batería ... o un inicio de sesión tedioso. Ahí es donde entra en juego la innovación de contraseñas. Volviendo a la idea de la autenticación multifactor, es probable que la biometría desbloquee aún más la facilidad de uso de los dispositivos: ¿por qué tocar y escribir contraseñas largas cuando solo puede mostrar a su dispositivo quién es usted? son con un dedo?
Implementación práctica: quedan algunos desafíos
Sin embargo, como hemos dicho, por el momento estamos atrapados con contraseñas y PIN. Por ejemplo, algunos sistemas operativos más nuevos han cambiado de un PIN de cuatro números a un PIN de seis números, haciendo que muchos de nosotros sea mucho más lento en el sorteo de nuestros dispositivos.
Un problema con el enfoque de "frase de contraseña" recomendado por NIST es que todavía va a haber restablecimientos de contraseña (como se discute en este hilo sobre Seguridad Desnuda). La gente todavía va a olvidar sus contraseñas. Algunos sugieren que podría ser más difícil para las personas de TI emitir nuevas contraseñas cuando las originales son mucho más largas.
Sin embargo, puede haber algún potencial aquí cuando se trata de autenticación de múltiples factores. La biometría aún no se ha dado cuenta, pero casi todos tienen un teléfono móvil. Muchos sistemas bancarios en línea y otros sistemas están utilizando SMS para autenticar a los usuarios. Esta podría ser una manera fácil de verificar las cuentas donde la contraseña se ha perdido u olvidado. También es una forma clave de fortalecer una contraseña en general, como se mencionó anteriormente.
Comida para llevar
Si es administrador de red, ¿qué le dicen las nuevas reglas de NIST?
Esencialmente, la agencia federal parece decirle a los gerentes: relájate. Permita que los usuarios hagan lo que hacen intuitivamente, con un mejor cifrado, un diccionario de cadenas prohibidas y un campo de entrada más largo con más versatilidad. No les enseñe a usar sus contraseñas con asteriscos y caracteres especiales cursis. Y no haga que repitan todo el proceso cada pocas semanas.
Todo esto hará que una plataforma determinada sea más ágil y más mala. Solo la eliminación de las sugerencias de contraseña elimina una importante base de código con todos sus requisitos de recursos. Las nuevas reglas NIST ponen la seguridad de la contraseña donde pertenece: fuera de las manos idiosincrásicas del usuario y en un lugar oscuro donde las funciones técnicas hacen que el historial de ataques de fuerza bruta de ayer sea fácil. Nos permitieron a todos adoptar un nuevo enfoque relajado de lo que ha sido un proceso difícil: crear pequeñas palabras y frases únicas para cada rincón de nuestras vidas digitales. Es un paso más hacia un mundo de interfaces de usuario más intuitivas: un mundo digital nuevo y mejorado donde lo que hacemos se siente más natural y menos confuso.