Seguridad

Las políticas de creación de contraseñas atentan contra la seguridad

De acuerdo a especialistas en seguridad, no son las contraseñas mismas ni los esquemas de seguridad informatica los que son débiles. El mayor riesgo a la seguridad proviene de las políticas de uso de estas contraseñas.
 
Según se publica en un boletín del sitio de seguridad  de la UNAM, en México, las políticas de creación de contraseñas han debilitado este mecanismo de identificación hasta tal punto, que posiblemente deje de ser útil en unos pocos años y tenga que buscarse una alternativa.
 
Según Steve Watts, especialista en seguridad cofundador de SecurEnvoy, los rígidos requerimientos en las contraseñas que son comúnmente impuestos a los usuarios por bancos y otras instituciones, redundan en que éstos encuentren difícil recordarlas y terminen por anotarlas y pegarlas junto a su monitor, lo cual destruye la confidencialidad y la seguridad de todo el sistema de autentificación.

El jefe de Dilbert, el famoso personaje de Scott Adams, dice: "A partir de hoy todas las contraseñas deberán contener letras, números, grabatos, lenguaje de signos y gruñidos de ardilla" (publicado originalmente en sept. de 2005 – visite www.dilbert.com).

En efecto, todos hemos observado cómo -dependiendo del sitio- se requieren contraseñas con mayúsculas y minúsculas, con dígitos, con o sin signos de puntuación y de no menos de 6 u 8 caracteres. Esto en principio no es una mala práctica. El problema es que si consideramos que un usuario requerirá contraseñas para el banco, su máquina, el servidor de su empresa, su correo, su otro correo, las redes sociales, son demasiadas contraseñas, cada una con un formato distinto. El usuario terminará anotandolas o tomando patrones en su teclado: 123qwe, qwerty, poiuy0987, etc. Si el sitio impone la restricción adicional de cambio periódico, el usuario entonces elegirá qwerty1, qwerty2, en forma alternada o con un número progresivo.
 
En el final de su intervención Steve Watts sugiere alternativas como el sistema Tokenless 2FA para sustituir las contraseñas.

Fuente: Gerardo Juarez – alcancelibre.org

Publicaciones relacionadas

Botón volver arriba