Mitos sobre manejo de contraseñas

Autor: Carlos Mauricio Rodríguez Loustaunau

Donde:

R = El rango requerido de caracteres que se van a usar.

L = El tamaño requerido de la contraseña.

En este caso, si solo se requieren letras minúsculas, usando el alfabeto español, tenemos 27 caracteres. Por lo que R = 27. Si se requieren letras minúsculas, mayúsculas y dígitos, son 27 + 27 + 10 lo que nos llevaría a

R = 64.

L solo es la cantidad mínima de caracteres que requiere la contraseña.

Calculemos la entropía de las 2 contraseñas que pusimos arriba

< c0nTr@seña!1 >

R = 27 letras minúsculas + 27 letras mayúsculas + 10 dígitos + 32 caracteres especiales (son los que contamos con en el conjunto de caracteres ASCII).

Esto nos da que R = 96

L = 12 (caracteres mínimos requeridos)

< miperritofiruseselmejor>

R = 27 letras minúsculas

L = 23 (caracteres mínimos requeridos)

Con esto podemos mencionar los siguientes puntos.

• Permitir frases como contraseña nos puede ayudar a que los usuarios no olviden su contraseña tan fácilmente. Definitivamente la contraseña < miperritofiruseselmejor> es más memorable que < c0nTr@seña!1>.
• Si nuestra preocupación es la complejidad de la contraseña, ya comprobamos matemáticamente que la contraseña < miperritofiruseselmejor> es más compleja que < c0nTr@seña!1>.

Si quisiéramos profundizar en nuestro análisis, la página https://random-ize.com/how-long-to-hack-pass/ nos ofrece un análisis de cuanto tiempo nos llevaría adivinar la contraseña con fuerza bruta usando una computadora común y corriente.

Implementación de políticas

Todo este análisis es muy bonito hasta que nos encontramos que en nuestra organización tenemos que poner en práctica forzosamente la complejidad de contraseñas debido a implementación de políticas. Para esto, recomiendo justificar el uso de frases como contraseñas con la publicación especial de NIST 800–63B en la cual favorecen el tamaño de las contraseñas al rango de caracteres para aumentar la complejidad.

Complejidad de contraseñas como defensa principal del robo de contraseñas.

Muchas veces se cree que la complejidad de contraseñas es la mejor práctica para el manejo de contraseñas. La mayoría de los ataques hacía contraseñas no son afectados por la complejidad de la contraseña. Ataques como keylogging, phishing, ingeniería social, robo de sesiones, etc. son igualmente efectivos hacia contraseñas complejas o sencillas.

Si bien, la complejidad en las contraseñas disminuye el riesgo, el error es confiar que erradica completamente el riesgo e ignorar otros factores que afectan al manejo de contraseñas.

Cambios periódicos de contraseñas.

Los cambios de contraseña periódicos ocurren cuando una organización obliga a sus usuarios a cambiar sus contraseñas cada “x” periodo de tiempo. La razón principal de esta tradición es que décadas atrás antes se creía que el tiempo promedio para quebrantar un “hash” de una contraseña era en promedio 90 días. Esto debido a los débiles mecanismos antes implementados para hacer un “hash”. Teniendo esto en mente, hacer cambios periódicos de contraseñas era la mejor práctica a implementar.

No obstante, hoy día, está práctica se puede considerar obsoleta y dañina. El problema, es que estándares en seguridad como PCI-DSS y las organizaciones no se han actualizado y siguen promoviendo prácticas antiguas, obsoletas y a veces, dañinas. A continuación, veamos algunos puntos por lo cual esta práctica se considera obsoleta y perjudicial.

• Debilidad de contraseñas nuevas: Es impresionante como múltiples áreas de seguridad ven toda implementación de políticas desde una perspectiva de mitigación de riesgo, sin embargo, nunca consideran la perspectiva del costo, y no me refiero solamente al costo monetario. Implementar un programa de expiración de contraseñas es equivalente a más tickets levantados a Service Desk, perdida de tiempo del usuario y el costo cultural. No es raro que el programa de seguridad de una organización sea mal visto por los usuarios. En general, prácticas de seguridad tediosas conllevan al usuario a buscar formas de evadir estas políticas. Es bien conocido como los usuarios alternan sus contraseñas de manera serial (< contraseña1> a < contraseña2> a< contraseña3>) para hacer menos tediosa esta práctica.
• Fatiga de contraseñas: Obligar a los usuarios a hacer cambios frecuentes de contraseñas puede probocar que estos se sientan abrumador por tener que recordar múltiples contraseñas que constantemente cambian. Esto normalmente provoca en el usuario tener prácticas como anotar sus contraseñas en lugares accesibles y visibles (post notes).
• Falsa sensación de seguridad: Los usuarios de la organizzación pueden creer erróneamente que están más seguros por estos cambios creando una sensación de completa seguridad. Esto puede hacer que se descuiden otras medidas de seguridad más efectivas como autenticación multifactor o monitoreo de actividad sospechosa. Muchos de los ataques más comunes de hoy día, como el phishing, no se ven afectados por el cambio periódico de contraseñas.

Recomendaciones y posibles soluciones.

Pedir al usuario cambiar la contraseña solo cuando en duda de posible brecha o evidencia de brecha.

Enforzar el uso de frases como contraseñas.

Recordar que por cada implementación de una política tediosa de seguridad, el usuario siempre buscará el camino de menor resistencia.

Tener en cuenta que la seguridad se maneja en capas, la contraseña solo es una capa de otras que pueden ser implementadas como monitoreo de actividad sospechosa entre otras.

Futuro del manejo de contraseñas

• Autenticación biométrica: Con el desarrollo técnico de las computadoras y los dispositivos móviles, se está volviendo cada vez más fácil y normalizado el uso de datos biométricos como método de autenticación.
• Influencia Regulatoria: El desarrollo de legislaciones como GDPR (General Data Protection Regulation) marca pauta para que otros entes legales implementen nuevas legislaciones que puedan regularizar y mejorar las diferentes prácticas de seguridad .
• Passwordless: : La posibilidad de tener un método de autenticación que permite acceder a sistemas sin la necesidad de una contraseña, se está volviendo cada vez más común. Esto se puede lograr a través de datos biométricos, código de un solo (ej. cuando te envían un número de 6 dígitos a tu celular), uso de dispositivos físico como una llave que se conecte via usb/usb-c.

Conclusión

Nos queda recordar que el manejo de contraseñas, como muchos comportamientos y acciones de los usuarios, son principalmente por conveniencia. Siempre es bueno considerar el factor cultural y humano en la ciberseguridad y como este se mezcla con los diferentes procesos que implementamos.

Agradecimientos

Incluyo un agradecimiento a las personas que me ayudaron con consultoría o consejos para la escritura de este artículo.

• Alberto Caraveo
• David Tintor

Bibliografía

• Lockard, L. (2021, May 3). All About Password Entropy. Specops Software.
• Richardson, J. (n.d.). How Long Would it Take to Crack Your Password? Find Out! — Randomize. Randomize. Retrieved August 27, 2021
• https://pages.nist.gov/800-63-3/sp800-63b.html