La buena noticia: los símbolos y dígitos no son necesarios para contraseñas seguras
La creencia de que la complejidad de la contraseña (símbolos, dígitos, etc.) hace que las contraseñas sean más seguras es un mito ampliamente creído. Lo comparo con un culto de carga [1]. Hubo un momento en que decirle a la gente que usara símbolos y dígitos en sus contraseñas mejoró la elección de la contraseña. No es que las contraseñas con dígitos y símbolos sean intrínsecamente más fuertes, sino que bajo ciertas condiciones en los años 70 y 80, decirle a la gente que las incluyera mejoró las contraseñas que la gente seleccionó.
Lamentablemente, no solo el público en general ha llegado a creer que agregar un signo de exclamación a una contraseña hace que sea más fuerte [2], sino que esta opinión también es sostenida por personas que ofrecen ese consejo (como lo demuestran, entre otras cosas, muchas de las respuestas que ves aquí).
- ¿Por qué el fuzzing es tan efectivo, aunque es un método tan ingenuo?
- ¿Qué debe hacer si su sitio de WordPress fue pirateado?
- ¿Puedo tener una lista de hackers falsos?
- ¿Por qué es Mac OS X confiable y sin virus?
- ¿Qué tan grande es la amenaza de Stuxnet?
De todos modos, puede que le complazca saber que el borrador de los estándares NIST [3] para los autenticadores secretos memorizados (contraseña) hablan en contra de la complejidad de la contraseña:
Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, que requieran mezclas de diferentes tipos de caracteres o que prohíban caracteres repetidos consecutivamente) para los secretos memorizados.
Cuando los sistemas le han dicho a las personas que seleccionen contraseñas con una mezcla de letras, símbolos y dígitos, la intención era romper con los hábitos de creación de contraseñas existentes. La intención no era enseñar a las personas que tales cosas mejoran las contraseñas. Pero desafortunadamente, décadas de esto han hecho esto último sin mucha mejora en lo primero.
La mala noticia: las contraseñas creadas por humanos apestan
El hecho de que los dígitos y los símbolos no tengan los poderes mágicos que la gente imagina no significa que las contraseñas como letmein
, password
, 1234567
e ILoveYou
sean aceptables. La razón por la cual (al mismo tiempo) obligar a las personas a incluir letras, símbolos y dígitos condujo a una mejor elección de contraseña es que alejó a las personas de las contraseñas más comunes.
Al hablar sobre los orígenes del culto a la carga de los requisitos de complejidad, introduje la sutil distinción entre qué contraseñas son más seguras y qué requisitos ayudan a las personas a elegir contraseñas que sean más seguras. Los requisitos de complejidad funcionaron porque obligaron a las personas a abandonar ciertos malos hábitos. Fue un truco de comportamiento y no un truco matemático. Del mismo modo, tenemos esto con medidores de fuerza de contraseña. Los medidores de seguridad de contraseña son una mierda (vea mi respuesta a ¿Cómo determina el indicador de seguridad de contraseña de 1Password la seguridad de una contraseña?)
“¿Cómo esperan que los humanos recuerden cinco o seis contraseñas con diferentes opciones?”
Mi respuesta a esto (de los detalles de su pregunta) viene con una revelación importante: trabajo para AgileBits, los creadores de 1Password, un administrador de contraseñas.
Con un administrador de contraseñas, solo necesita recordar una contraseña, que puede hacer segura. Y puede pasar a tener más que solo “cinco o seis” contraseñas que el administrador de contraseñas almacenará y recordará por usted.
Si solo tiene cinco o seis contraseñas como sugiere su pregunta, entonces es casi seguro que está reutilizando algunas de esas contraseñas en múltiples servicios. Esa es una práctica peligrosa. Si usa la misma contraseña en, digamos, una docena de servicios diferentes, entonces si uno de esos servicios se ve comprometido de una manera que expone su contraseña, los otros 11 servicios para los que usa esa contraseña también están expuestos. Un buen administrador de contraseñas hace que sea más fácil (gradualmente) avanzar hacia el objetivo de tener contraseñas únicas para cada sitio y servicio.
Pedirle a los humanos que hagan cosas que son humanamente imposibles no es la mejor base para construir un sistema seguro. Un administrador de contraseñas está diseñado no solo para permitir un comportamiento seguro, sino que también puede hacer que sea más fácil comportarse de manera segura que comportarse de manera insegura.
Notas al pie
[1] Culto de carga – Wikipedia
[2] ¿Las percepciones de los usuarios sobre la seguridad de la contraseña coinciden con la realidad?
[3] Publicación especial NIST 800-63B