El autor de una famosa guía para crear contraseñas se arrepiente de los consejos que recomendó hace 14 años.
Cuando creamos contraseñas, empleamos una serie de técnicas y trucos actualmente obsoletos. Más que protegernos, nos hacen aún más vulnerables a potenciales ataques de hackers y piratas informáticos. Así lo asegura Bill Burr, autor y creador de las técnicas y trucos en cuestión, en una entrevista al Wall Street Journal.
No, no es un error de redacción.
Bill Burr es conocido en el mundo digital como el gurú de las contraseñas. En el año 2003, publicó un popular documento que contenía los principios que se siguen utilizando hoy en día para crear una contraseña. 14 años después, jubilado y con 72 años de edad, se ha retractado públicamente: “Me arrepiento de mucho de lo que hice.”
Durante el ejercicio de su cargo como gerente del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), Burr publicó un documento titulado “NIST Special Publication 800-63. Appendix A,”. En su interior, incluía diferentes consejos y recomendaciones para aumentar el nivel de seguridad de una contraseña, de manera de que fuese altamente complicada de descifrar. Uno de los consejos dados era utilizar combinaciones de letras en mayúsculas y minúsculas, caracteres especiales y números. Un ejemplo podría ser: “C0nnTr@ss33N44!” (a sabiendas de que la palabra “contraseña” no es que sea muy segura). A primera vista, pareciera tener un alto nivel de complejidad. Sin embargo, el problema originado fue la tendencia de los usuarios a repetir las mismas técnicas y patrones en cada una de las contraseñas creadas. Por ende, más que códigos secretos, se generaban réplicas de series de combinaciones digitales bastante predecibles para los hackers; dianas a las que sus algoritmos apuntaban mejor y con mayor frecuencia.
Esta medida, adoptada por instituciones académicas, entidades gubernamentales y grandes compañías por igual, no ha hecho sino llevar a los usuarios a crear contraseñas aún más sencillas de descifrar.
Peor aún, otro de los errores que se llevan cometiendo desde el 2003, ha sido el de acatar la recomendación de cambiar las contraseñas con cierta periodicidad (90 días). Esta medida, adoptada por instituciones académicas, entidades gubernamentales y grandes compañías por igual, no ha hecho sino llevar a los usuarios a crear contraseñas aún más sencillas de descifrar. Por un lado, está el miedo a olvidar la nueva contraseña, por lo que la mayoría de los usuarios tienden a escribirla en lugares visibles y fácilmente accesibles, como una pizarra de escritorio, un archivo o documento desprotegido, o incluso, hasta en un post-it sobre el refrigerador. Por otro lado, confiados de que nunca llegaremos a ser el objetivo de un pirata informático (y nuevamente, por miedo a olvidarla), solemos alterar no más que un solo carácter de la contraseña, generalmente el último; volviendo así al estado anterior.
“Un algoritmo tardaría cientos de años en descubrir una frase como tiburónanzuelomareaalta”.
Recientemente, una nueva guía de recomendaciones fue publicada por el NIST. Esta vez los profesionales sugieren utilizar secuencias de palabras fáciles de recordar. No necesariamente tienen que ser combinaciones largas, ni extrañas. “Un algoritmo tardaría cientos de años en descubrir una frase como tiburónanzuedlomareaalta”, aseguró Paul Grassi, autor de la nueva guía.