El instituto NIST de EEUU revoca reglas de seguridad digital en contraseñas por considerarlas obsoletas
Los expertos del Instituto de Tecnología y Estándares de Estados Unidos (NIST) han sacudido los cimientos de la ciberseguridad al actualizar sus recomendaciones sobre contraseñas, eliminando la obsoleta norma de cambiarlas periódicamente.
Este cambio radical responde a un fenómeno inquietante: forzar a los usuarios a cambiar sus contraseñas a menudo los lleva a optar por combinaciones más simples y vulnerables., recoge Europa Press
Durante años, las contraseñas han sido la primera línea de defensa en la protección de información personal y el acceso a dispositivos. Se les ha dicho a los usuarios que creen códigos complicados que mezclen letras, números y símbolos, mientras se les instaba a cambiar sus claves regularmente para minimizar el riesgo de filtraciones.
Sin embargo, el NIST ha desmontado esta estrategia en su reciente borrador de Directrices sobre identidad digital, sugiriendo que estas prácticas pueden ser contraproducentes.
La nueva directriz establece que las organizaciones no deben exigir cambios de contraseña a menos que haya pruebas concretas de que la cuenta ha sido comprometida. Esta decisión se basa en el análisis de que, ante la presión de recordar nuevas contraseñas con frecuencia, los usuarios tienden a simplificarlas, lo que las hace más susceptibles a ciberataques.
Forzar a los usuarios a cambiar sus contraseñas a menudo los lleva a optar por combinaciones más simples y vulnerables.
Además, el NIST ha criticado la insistencia en usar diversos tipos de caracteres dentro de una contraseña, advirtiendo que tales requisitos solo fomentan respuestas predecibles de los usuarios. Por ejemplo, si se pide a alguien que añada un número a una contraseña básica como "contraseña", es probable que simplemente opte por "Contraseña1″, un movimiento que resulta evidente para los hackers.
El NIST enfatiza que las reglas tradicionales sobre la complejidad de las contraseñas han sido sobrevaloradas y que su impacto en la seguridad es menor de lo que se pensaba, especialmente considerando los problemas de usabilidad que generan.
Los análisis de bases de datos de contraseñas violadas han demostrado que estas normativas no ofrecen la protección esperada, provocando una revisión radical en el enfoque hacia la creación y gestión de contraseñas.
A pesar de esta revolución, el NIST mantiene la recomendación de que las contraseñas deben ser suficientemente largas. Según las nuevas directrices, se sugiere que las contraseñas tengan un mínimo de ocho caracteres, y se apunta a que la longitud ideal debería ser de al menos 15 caracteres.
Aunque en esa dirección se ha establecido un límite máximo de 64 caracteres, la recomendación se centra en crear contraseñas que sean no solo largas, sino también memorables para el usuario.
Con estos cambios, el NIST busca redefinir las bases de la seguridad digital, liberando a los usuarios de las antiguas restricciones y ofreciendo un enfoque más eficaz y práctico para proteger la información personal en un mundo cada vez más digitalizado.
