Mitos sobre manejo de contraseñas

Inicio » Blog
Noviembre 2023

Autor: Carlos Mauricio Rodríguez Loustaunau



Donde:

R = El rango requerido de caracteres que se van a usar.

L = El tamaño requerido de la contraseña.

En este caso, si solo se requieren letras minúsculas, usando el alfabeto español, tenemos 27 caracteres. Por lo que R = 27. Si se requieren letras minúsculas, mayúsculas y dígitos, son 27 + 27 + 10 lo que nos llevaría a

R = 64.

L solo es la cantidad mínima de caracteres que requiere la contraseña.

Calculemos la entropía de las 2 contraseñas que pusimos arriba

< c0nTr@seña!1 >

R = 27 letras minúsculas + 27 letras mayúsculas + 10 dígitos + 32 caracteres especiales (son los que contamos con en el conjunto de caracteres ASCII).

Esto nos da que R = 96

L = 12 (caracteres mínimos requeridos)

< miperritofiruseselmejor>

R = 27 letras minúsculas

L = 23 (caracteres mínimos requeridos)

Con esto podemos mencionar los siguientes puntos.

Si quisiéramos profundizar en nuestro análisis, la página https://random-ize.com/how-long-to-hack-pass/ nos ofrece un análisis de cuanto tiempo nos llevaría adivinar la contraseña con fuerza bruta usando una computadora común y corriente.

Implementación de políticas

Todo este análisis es muy bonito hasta que nos encontramos que en nuestra organización tenemos que poner en práctica forzosamente la complejidad de contraseñas debido a implementación de políticas. Para esto, recomiendo justificar el uso de frases como contraseñas con la publicación especial de NIST 800–63B en la cual favorecen el tamaño de las contraseñas al rango de caracteres para aumentar la complejidad.

Complejidad de contraseñas como defensa principal del robo de contraseñas.

Muchas veces se cree que la complejidad de contraseñas es la mejor práctica para el manejo de contraseñas. La mayoría de los ataques hacía contraseñas no son afectados por la complejidad de la contraseña. Ataques como keylogging, phishing, ingeniería social, robo de sesiones, etc. son igualmente efectivos hacia contraseñas complejas o sencillas.

Si bien, la complejidad en las contraseñas disminuye el riesgo, el error es confiar que erradica completamente el riesgo e ignorar otros factores que afectan al manejo de contraseñas.

Cambios periódicos de contraseñas.

Los cambios de contraseña periódicos ocurren cuando una organización obliga a sus usuarios a cambiar sus contraseñas cada “x” periodo de tiempo. La razón principal de esta tradición es que décadas atrás antes se creía que el tiempo promedio para quebrantar un “hash” de una contraseña era en promedio 90 días. Esto debido a los débiles mecanismos antes implementados para hacer un “hash”. Teniendo esto en mente, hacer cambios periódicos de contraseñas era la mejor práctica a implementar.

No obstante, hoy día, está práctica se puede considerar obsoleta y dañina. El problema, es que estándares en seguridad como PCI-DSS y las organizaciones no se han actualizado y siguen promoviendo prácticas antiguas, obsoletas y a veces, dañinas. A continuación, veamos algunos puntos por lo cual esta práctica se considera obsoleta y perjudicial.

Recomendaciones y posibles soluciones.

Pedir al usuario cambiar la contraseña solo cuando en duda de posible brecha o evidencia de brecha.

Enforzar el uso de frases como contraseñas.

Recordar que por cada implementación de una política tediosa de seguridad, el usuario siempre buscará el camino de menor resistencia.

Tener en cuenta que la seguridad se maneja en capas, la contraseña solo es una capa de otras que pueden ser implementadas como monitoreo de actividad sospechosa entre otras.

Futuro del manejo de contraseñas

Conclusión

Nos queda recordar que el manejo de contraseñas, como muchos comportamientos y acciones de los usuarios, son principalmente por conveniencia. Siempre es bueno considerar el factor cultural y humano en la ciberseguridad y como este se mezcla con los diferentes procesos que implementamos.

Agradecimientos

Incluyo un agradecimiento a las personas que me ayudaron con consultoría o consejos para la escritura de este artículo.

Bibliografía