¿Por qué la contraseña en muchos sitios web requiere ser complicada?

La buena noticia: los símbolos y dígitos no son necesarios para contraseñas seguras

La creencia de que la complejidad de la contraseña (símbolos, dígitos, etc.) hace que las contraseñas sean más seguras es un mito ampliamente creído. Lo comparo con un culto de carga [1]. Hubo un momento en que decirle a la gente que usara símbolos y dígitos en sus contraseñas mejoró la elección de la contraseña. No es que las contraseñas con dígitos y símbolos sean intrínsecamente más fuertes, sino que bajo ciertas condiciones en los años 70 y 80, decirle a la gente que las incluyera mejoró las contraseñas que la gente seleccionó.

Lamentablemente, no solo el público en general ha llegado a creer que agregar un signo de exclamación a una contraseña hace que sea más fuerte [2], sino que esta opinión también es sostenida por personas que ofrecen ese consejo (como lo demuestran, entre otras cosas, muchas de las respuestas que ves aquí).

De todos modos, puede que le complazca saber que el borrador de los estándares NIST [3] para los autenticadores secretos memorizados (contraseña) hablan en contra de la complejidad de la contraseña:

Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, que requieran mezclas de diferentes tipos de caracteres o que prohíban caracteres repetidos consecutivamente) para los secretos memorizados.

Cuando los sistemas le han dicho a las personas que seleccionen contraseñas con una mezcla de letras, símbolos y dígitos, la intención era romper con los hábitos de creación de contraseñas existentes. La intención no era enseñar a las personas que tales cosas mejoran las contraseñas. Pero desafortunadamente, décadas de esto han hecho esto último sin mucha mejora en lo primero.

La mala noticia: las contraseñas creadas por humanos apestan

El hecho de que los dígitos y los símbolos no tengan los poderes mágicos que la gente imagina no significa que las contraseñas como letmein , password , 1234567 e ILoveYou sean aceptables. La razón por la cual (al mismo tiempo) obligar a las personas a incluir letras, símbolos y dígitos condujo a una mejor elección de contraseña es que alejó a las personas de las contraseñas más comunes.

Al hablar sobre los orígenes del culto a la carga de los requisitos de complejidad, introduje la sutil distinción entre qué contraseñas son más seguras y qué requisitos ayudan a las personas a elegir contraseñas que sean más seguras. Los requisitos de complejidad funcionaron porque obligaron a las personas a abandonar ciertos malos hábitos. Fue un truco de comportamiento y no un truco matemático. Del mismo modo, tenemos esto con medidores de fuerza de contraseña. Los medidores de seguridad de contraseña son una mierda (vea mi respuesta a ¿Cómo determina el indicador de seguridad de contraseña de 1Password la seguridad de una contraseña?)

“¿Cómo esperan que los humanos recuerden cinco o seis contraseñas con diferentes opciones?”

Mi respuesta a esto (de los detalles de su pregunta) viene con una revelación importante: trabajo para AgileBits, los creadores de 1Password, un administrador de contraseñas.

Con un administrador de contraseñas, solo necesita recordar una contraseña, que puede hacer segura. Y puede pasar a tener más que solo “cinco o seis” contraseñas que el administrador de contraseñas almacenará y recordará por usted.

Si solo tiene cinco o seis contraseñas como sugiere su pregunta, entonces es casi seguro que está reutilizando algunas de esas contraseñas en múltiples servicios. Esa es una práctica peligrosa. Si usa la misma contraseña en, digamos, una docena de servicios diferentes, entonces si uno de esos servicios se ve comprometido de una manera que expone su contraseña, los otros 11 servicios para los que usa esa contraseña también están expuestos. Un buen administrador de contraseñas hace que sea más fácil (gradualmente) avanzar hacia el objetivo de tener contraseñas únicas para cada sitio y servicio.

Pedirle a los humanos que hagan cosas que son humanamente imposibles no es la mejor base para construir un sistema seguro. Un administrador de contraseñas está diseñado no solo para permitir un comportamiento seguro, sino que también puede hacer que sea más fácil comportarse de manera segura que comportarse de manera insegura.

Notas al pie

[1] Culto de carga – Wikipedia

[2] ¿Las percepciones de los usuarios sobre la seguridad de la contraseña coinciden con la realidad?

[3] Publicación especial NIST 800-63B

ContraseñasGestión deSeguridad informáticaSitios web

¿Podemos encontrar software malicioso en archivos como imágenes y música?

Seguridad de WordPress: sitio web pirateado: ¿dónde puedo encontrar palabras clave ocultas?

¿Cuáles son los diferentes tipos de virus en las computadoras portátiles?

¿Se puede hackear el "arma inteligente" alemana?

Cómo encontrar temas / materias para el proyecto de la Feria de Ciencias sobre seguridad cibernética

¿Cuáles son las características de los servicios de seguridad gestionados?

Es razonable que la contraseña de muchos sitios web sea complicada para que la computadora de un hacker no pueda adivinarla fácilmente. Si la contraseña de su cuenta bancaria es “123456” o “contraseña”, alguien podría robarle todo su dinero, porque se sabe que son los más utilizados. Para otros sitios web, donde no hay amenaza de robo de identidad o riesgo financiero o de seguridad, todo lo que está protegiendo es un alias utilizado para comentar la historia de un periódico; es probable que el sitio use software estándar con las reglas integradas, o eso los operadores del sitio no quieren estar en la posición de aparecer en una lista de los 100 sitios web más inseguros, incluso si no tienen activos para proteger.

En el pasado (1970), el almacenamiento de la computadora era muy costoso y las ID de usuario y las contraseñas tenían que ser muy cortas: 6 u 8 caracteres. También había poca amenaza y no había internet. La corta duración persistió en la década de 1990: las contraseñas cifradas DES en Unix se truncaron a 8 caracteres, y se introdujeron reglas de complejidad para evitar que las personas usen una de los pocos miles de palabras en inglés. Cuando las contraseñas comenzaron a usarse en la Web, las reglas las siguieron.

Ahora, el requisito de contraseñas cortas es anacrónico, pero aún persiste: Office365 en línea limita las contraseñas a solo 16 caracteres. En 2011, Randall Monroe popularizó el esquema de múltiples palabras aleatorias en Password Strength, también conocido como “correct.horse.battery.staple”. Eso proporciona una contraseña de alta entropía que, sin embargo, se puede memorizar con bastante facilidad.

La respuesta para recordar muchas contraseñas diferentes es, por supuesto, hacer que una computadora lo haga por usted. Hay muchos programas, incluido uno integrado en el navegador Firefox, que cifrará sus contraseñas para que solo tenga que recordar una contraseña maestra. Lo he estado usando durante años y ahora genero nuevas contraseñas aleatorias para cada sitio web.

La razón para querer tener contraseñas diferentes es que, sin importar cuán cuidadoso sea usted mismo, los sitios web son pirateados y las contraseñas robadas. O los operadores pueden ser poco confiables. Se ha demostrado que los delincuentes usan listas de contraseñas e identidades robadas para hackear otros sitios. Si su contraseña para el foro de productores de rutabaga es la misma que la de su banco, nuevamente su dinero podría ser robado.

La comunidad de TI sigue tratando de reemplazar las contraseñas con algo mejor, pero hasta ahora eso ha resultado difícil de alcanzar para la Web en general. Por ejemplo, durante muchos años he usado claves criptográficas en SSH para iniciar sesión en computadoras Unix, en lugar de contraseñas. Las claves son seguras, protegidas por una contraseña que nunca sale de mi computadora, indudablemente larga (miles de caracteres) y resistente a grabaciones o espías. Una vez configurado, el proceso es completamente continuo; Me conecto una vez en mi computadora, y luego tengo acceso transparente a docenas de otros. En primer lugar, es la configuración lo que lleva tiempo y comprensión, y el esquema no se ha transferido a la Web. Un esquema que tiene son los certificados de usuario SSL, integrados al menos en el navegador Firefox, pero configurarlo de nuevo es complejo. La comunidad de TI se ha negado firmemente a simplificar el proceso, porque la simplificación debilitaría la seguridad: cambiarla de algo que es casi perfectamente seguro a algo que podría ser atacado, incluso si sería mejor que las contraseñas.

No estoy seguro de lo que depara el futuro, predecir que es notoriamente difícil. Pensamos que las contraseñas se habrían eliminado hace al menos 10 años, pero aquí todavía estamos. Personalmente, no voy a adoptar emojis, porque creo que son tontos, y no son universalmente compatibles en dispositivos y sistemas operativos; no tengo idea de cómo generar uno en mi escritorio, aparte de copiar uno de un tabla en línea de personajes UTF-8.

Jeffrey Goldberg

Se debe a lo rápido que es un ataque de diccionario, la reutilización de contraseña y el daño que puede hacer una vez que lo tengamos.

Ejemplo.

Usted decide que ‘perro’ es su mascota favorita y, por lo tanto, es una buena contraseña. Entonces lo usas en todas partes.

Abro mi programa de ataque de diccionario, que intenta iniciar sesión en un sitio web con el que tiene una cuenta.

Dentro de unos segundos, estoy en su sitio web ‘observadores de mariposas mensuales’, como su nombre de usuario y contraseña.

No puedo hacer mucho en este sitio. Haga clic en “me gusta” en una polilla roja.

Entonces voy a tu Facebook e inicio sesión como tu nombre de usuario y ‘perro’.

Arriba viene.

Le digo a tu jefe que vaya a arruinar su trabajo.

Escribo una publicación diciendo que has sido secuestrado y necesito mil dólares para enviar a todos tus amigos. Algunos podrían morder?

Analizo tus mensajes y chantajeo a tu pareja que está teniendo una aventura.

Aburrido hasta ahora.

Me conecto a tu banco. Sí. El perro me mete de nuevo. Es bueno que recuerdes usar ‘perro’ en todas partes. Para mi.

Gracias por la transferencia de la cuenta corriente, y el préstamo que acaba de obtener (bueno, fui yo), que también fue agradable. Es una pena que tengas que pagarlo, ahora lo he gastado.

Siguiente parada de Hotmail. Y el perro nos mete de nuevo.

Ahora estás jodido.

Reviso cualquier otro sitio web, personal y profesional en el que se encuentre, y les digo que olvidé mi contraseña.

El enlace llega a tu Hotmail. Lo hago clic y cambio su contraseña. Pero no te estoy diciendo qué hacer.

Finalmente, cambio su contraseña de Hotmail.

Adios, tu.

Ahora soy tu

Puedo crear, solicitar, recibir cosas en tu nombre.

Todas esas entregas de Amazon de los pedidos que realicé irán a mi punto de entrega seguro. Usted está pagando

Llamas a Amazon para explicar lo que pasó. ¡Cortaron la llamada! Ya no puede responder ninguna pregunta de seguridad correctamente, ya que las cambié todas.

Para Amazon, su banco, su jefe, todos los sitios web, usted no es usted. Estoy.

Ya no existe en línea y no tiene poder para cambiar eso.

¿Todavía quieres que te dejemos escribir ‘perro’ como contraseña? Quiero decir, es agradable y fácil de recordar.

Solieman ElSaber

Las contraseñas largas y seguras brindan mayor seguridad.

No necesita recordar contraseñas. Utiliza un administrador de contraseñas. Utilizo la versión premium de LastPass con autenticación de dos factores.

Debe conocer mi contraseña maestra larga y segura y debe tener mi YubiKey conectada al puerto USB para abrir mi bóveda de contraseñas.

Use una contraseña única para cada cuenta.

Solieman ElSaber

Esta es una medida de seguridad. Muchos piratas informáticos utilizarán un software de piratería de contraseñas que genera contraseñas. Algunos de estos programas utilizan información del pirata informático, como su nombre, datos de nacimiento, dirección, correo electrónico, nombre de la mascota y la mayor cantidad de información adicional posible. El software toma esta información y genera miles de posibles contraseñas. Una contraseña complicada, larga, con muchos caracteres especiales y sin una relación obvia contigo es la mejor. El sitio web obliga a los usuarios a crear contraseñas complicadas para frustrar este tipo de piratería de contraseñas. Funciona. Pero tenga en cuenta que el eslabón más débil en ciberseguridad es el humano.

Solieman ElSaber

Debido a que la mayoría de los sitios web no pueden solucionar el problema de la reutilización de contraseñas, al hacer que el requisito sea desagradablemente complejo, evitan que use Unicorn84 por 77a vez.

En su caso, Unicorn84 se ha utilizado en muchos sitios web y aplicaciones. Varios han sido comprometidos. Deja de usarlo.

Solieman ElSaber

Porque una contraseña complicada es más segura que una simple. Si tiene problemas para recordarlos a todos, le recomiendo un administrador de contraseñas, algo así como LastPass. Sin embargo, tenga en cuenta que está poniendo todos sus huevos en una canasta, por así decirlo, por lo que su contraseña de LastPass realmente debe ser “segura”.

Solieman ElSaber

La complicación como la denominó, es un medio para aumentar y proteger sus interacciones en línea. Cuanto más difícil y complicada sea la contraseña, más difícil será para el ciberdelincuente y los hackers descifrar.

Solieman ElSaber

More Interesting

¿AWS requiere que use el par de claves SSH generado por Amazon?

Soy un estudiante de ECE e interesado en la seguridad cibernética y la piratería ética. ¿Debo comenzar mi carrera con ciberseguridad o piratería?

¿Cuáles son algunos cursos para aprender piratería ética? ¿Has hecho alguna? ¿Cómo se puede aprender la ingeniería inversa?

¿Cuál es el mejor antivirus? ¿Es realmente Avira la mejor?

¿MyWOT.com fue hackeado hoy?

¿Por qué los grandes sitios web -todavía- almacenan contraseñas de texto sin cifrado?

¿Cómo funciona el ransomware?

¿Vale la pena borrar regularmente el caché, las cookies y el historial de mi navegador?

¿Cómo asegura la verificación en dos pasos las cuentas en línea?

Cómo eliminar el malware AdChoices