El Centro de Ciberseguridad Nacional de Reino Unido (NCSC) recomienda optar por tres palabras aleatorias a la hora de crear una contraseña. Cumplir con los requisitos de complejidad a veces puede no ser suficiente, ya que los usuarios suelen recurrir a claves sencillas que son fáciles de predecir por los algoritmos que utilizan los ciberdelicuentes.
La organización británica ya promovía la estrategia de tres palabras al azar (#thinkrandom) en un artículo publicado hace 5 años en su blog, sin embargo, considera que esos passwords siguen siendo lo suficientemente seguros para seguir haciéndolo tanto a nivel personal como profesional.
El uso de este método tiene, sobre todo, dos ventajas. Por un lado, sirve para poner trabas a los criminales en sus intentos por robar credenciales y, por otro, pueden ser más fáciles de recordar que otras más débiles.
Los requisitos de seguridad no son infalibles
Kate R, líder del equipo de personas del Grupo Sociotécnico del NCSC, comenta en una publicación que los requisitos de seguridad de contraseñas pueden ser contraproducentes porque los usuarios pueden crear contraseñas previsibles y poco seguras.
“El principal problema con el cumplimiento de los requisitos de complejidad es que es difícil para los usuarios generar, recordar e ingresar correctamente contraseñas complejas sin un esfuerzo sustancial, lo que fomenta aún más la reutilización de contraseñas”, comenta.
Una práctica bastante frecuente suele ser elegir una palabra y reemplazar algunos caracteres por números con tal de cumplir con estas condiciones obligatorias. Esto puede dar lugar a claves como “Pa55w0rd” que, además de ser bastante corta, es demasiado evidente, lo que la convierte en potencialmente vulnerable.
Por lo general, los usuarios consideran que una contraseña ya es lo suficientemente segura si cumple con esos requisitos, pero, nada más lejos de la realidad. Los ciberdelincuentes ya conocen sobradamente este hábito para generar passwords, por lo que disponen de algoritmos capaces de averiguarlas rápidamente.
Esta es una de las razones por las que optar por las tres palabras aleatorias puede ser una buena forma de dificultar su “trabajo”, ya que tendrán que utilizar otros algoritmos a los que no están tan acostumbrados, reduciendo su tasa de éxito y perdiendo mucho más tiempo en el proceso.
“La contraseña estereotipada es una sola palabra o nombre del diccionario, con reemplazos de caracteres predecibles. Al recomendar varias palabras, desafiamos inmediatamente esa percepción y fomentamos una variedad de contraseñas que no se han considerado previamente”, explica Kate R.
Passwords don’t have to be painful.
Using ❗️❓#⃣🔢 won't keep you secure.
Read our latest blog on why now's time to rethink our understanding of passwords#ThreeRandomWordshttps://t.co/XkPp7zjZx8 pic.twitter.com/Rdhe7dbrhV
— NCSC UK (@NCSC) August 9, 2021
Contraseñas más largas, pero también más fáciles de recordar
De igual manera, la longitud de las contraseñas es otro factor a tener en cuenta. Para los criminales siempre será más difícil averiguar una clave larga que una corta. A pesar de lo que pueda parecer en un principio, una contraseña con menos caracteres no necesariamente es más fácil de recordar. Con el uso de tres palabras aleatorias, también se podrán evitar patrones más predecibles, como la costumbre de incluir un símbolo al final.
Aun así, el organismo recomienda como medida de protección adicional el uso de administradores de contraseñas para almacenarlas ya que algunas pueden ser difíciles de recordar. De momento, el uso de estas herramientas no está muy extendido, así que, mientras tanto, esta estrategia puede ser un buen comienzo, ya que, además de reducir la eficacia del robo de credenciales, puede generar claves más memorables. Si tienes problemas para acordarte de un password siempre puedes apuntarlo en un navegador o en una hoja de papel.
En resumidas cuentas, el equipo de ciberseguridad sigue promoviendo el uso de tres palabras al azar para generar contraseñas con patrones más diversos con el fin de hacerle la vida más difícil a los piratas informáticos. Actualmente, la proliferación de malware se ha convertido en una preocupación prioritaria a nivel global.
Los recientes ataques a infraestructuras críticas y la posterior reacción del gobierno estadounidense, la colaboración del FBI con la plataforma “Have I been Pwned?» o la creación de una unidad informática conjunta contra estos incidentes por parte de la Comisión Europea son buenos ejemplos de ello.
Imagen de AbsolutVision en Pixabay