Anar canviant de contrasenya pot ser més insegur a la llarga, segons el NIST nord-americà

Els experts de l'Institut de Tecnologia i Estàndards nord-americà (NIST) han actualitzat les pautes per garantir la seguretat de les contrasenyes i han decidit eliminar la recomanació de canviar-la periòdicament, perquè consideren que empeny els usuaris a buscar contrasenyes cada cop menys segures i, per tant, té l'efecte contrari al desitjat.

En aquest sentit, el nou esborrany del document de directrius sobre identitat digital indica que "no s'ha d'exigir als usuaris" que canviïn de contrasenya recurrentment, tret que hi hagi l'evidència que ha quedat desprotegida per algun motiu.

La recomanació de canviar de clau cada cert temps per evitar que es puguin utilitzar en cas de filtració és una de les més habituals entre els experts, que també aconsellen que s'assoleixi una determinada longitud i es combinin lletres, números, símbols, majúscules i minúscules.

Unes pautes que es consideraven fiables, però que provoquen que els usuaris tendeixin a generar contrasenyes cada vegada més senzilles que puguin recordar després de cada canvi. Això fa que siguin menys resistents davant de ciberatacs i filtracions de dades, segons l'organisme nord-americà dedicat a fixar estàndards tecnològics per a organitzacions governamentals i privades.

Els caràcters especials, també en qüestió

D'altra banda, els experts del NIST també han qüestionat la recomanació de fer servir diferents tipus de caràcters dins d'una mateixa contrasenya. En aquest sentit, detallen que "no s'han d'imposar regles de composició" per a les contrasenyes.

Tot i que aquestes regles s'utilitzen per dificultar que algú pugui endevinar les contrasenyes, "les investigacions recents han demostrat que els usuaris responen de manera molt previsible als requisits imposats".

Com assenyalen, aquestes regles només provoquen canvis com introduir un nombre o un símbol totalment predictibles per als ciberdelinqüents:

"Per exemple, un usuari que esculli la paraula 'contrasenya', "seria relativament probable que elegís 'Contrasenya1' si se us demanés que inclogui una lletra majúscula i un número o 'Contrasenya1!' si també cal un símbol."

Les anàlisis de bases de dades de contrasenyes violades revelen que el benefici d'aquestes regles és menys significatiu del que es pensava inicialment, i tenen un greu impacte en la facilitat d'ús i de memorització.

La longitud, un consell que es manté

Tot i aquests canvis en les recomanacions, els experts també han mantingut altres pautes, com ara aconseguir una longitud adequada de caràcters en generar una contrasenya per incrementar-ne la dificultat.

En concret, l'organisme ha detallat que els verificadors i els CSP "han d'exigir que les contrasenyes tinguin un mínim de vuit caràcters de longitud", tot i que també ha assenyalat que, per garantir la seguretat, caldria que les contrasenyes tinguin un mínim de 15 caràcters, i se n'han de permetre de fins a 64.

La importància d'una bona contrasenya

Les contrasenyes són una de les formes d'autenticació més utilitzades a l'hora d'iniciar sessió en un servei, com a barrera per emmagatzemar informació personal o per desbloquejar dispositius.

Com recorda al 324.cat l'expert en ciberseguretat Bruno Pérez Juncà, l'usuari és qui té la clau per decidir "si la vol segura o no":

"És com quan compres un candau, que el pots comprar més bo o més senzill; o quan tries la porta d'entrada de casa, que no l'agafaràs de fullola."

En aquest sentit, Pérez Juncà admet que una bona solució passa per tenir una contrasenya bàsica i repetida per accedir a llocs amb contingut poc valuós i cuidar bé les contrasenyes que ens donen accés als serveis on emmagatzemem informació important.

El document emès pel NIST inclou altres indicacions com ara el bloqueig de comptes després de cinc intents fallits d'inici de sessió, que no es permeti l'autentificació en base a preguntes o que no s'ofereixin pistes a l'usuari per recordar la contrasenya.

Malgrat que aquestes noves directrius no seran d'aplicació immediata, l'experiència porta a pensar que mica en mica s'aniran estenent entre els nous estàndards de seguretat de les principals companyies.