El responsable de requerir usar una combinación de letras minúsculas, mayúsculas, números y símbolos en contraseñas de al menos ocho caracteres para las contraseñas, está ahora retractando su consejo.
El ex director del Instituto Nacional de Estándares y Tecnología, Bill Burr, admitió recientemente en una entrevista con The Wall Street Journal que su documento del año 2003 sobre la elaboración de contraseñas, y el consejo de cambiarlas cada 90 días, estuvo fuera de lugar.
Burr dijo que los usuarios eligen generalmente una contraseña fácil de recordar, fácil de adivinar y probablemente derivada de un lote de «unos cuantos miles de contraseñas comúnmente elegidas». A su vez, los piratas informáticos que tratan de obtener acceso a cuentas y computadoras pueden probar primero las contraseñas más probables. Pero aunque los servicios rechazan contraseñas específicas, dado su uso común, Burr sugirió una alternativa más segura.
En la página 52 del documento, él indicó claramente que los sistemas deberían confiar en una contraseña de ocho caracteres o más, que se seleccionan de un alfabeto de 94 caracteres imprimibles. Esta contraseña también debe incluir al menos una letra mayúscula, una letra minúscula, un número y un símbolo especial. Los sistemas deben incluso confiar en un diccionario que evite que los usuarios incluyan palabras familiares, o que utilicen su nombre de inicio de sesión como contraseña.
El problema con este método es que los usuarios tienden a tener patrones al crear una contraseña. Por ejemplo, pueden tomar una palabra conocida, como «contraseña», y modificarla ligeramente para cumplir con los requisitos. El resultado podría ser algo que no es del todo lo original, y que se puede descifrar en cuestión de segundos.
Actualmente, los sistemas dan a los usuarios la aprobación cuando siguen el estándar actual, e incluso proporcionan una herramienta de medición visual que indica la fuerza de la contraseña contra la piratería. Pero luego se solicita u obliga a los usuarios a cambiar su contraseña cada 90 días, por lo que pueden usar la misma palabra base, pero alterar el uso de los caracteres para satisfacer el proceso de actualización.
Cuando se crearon las directrices en el 2003, no se basaron en datos recopilados. Los administradores del sistema no revisaron las contraseñas, por lo que Burr tomó en cuenta un documento publicado en la década de 1980, mucho antes de que la población estadounidense general compró un módem y saltó a la red usando Netscape o America Online.
Avanzando hacia el 2017, el Instituto Nacional de Estándares y Tecnología proporciona nuevas directrices para los sistemas a seguir. Autorizado por el asesor técnico Paul Grassi, presenta mucho de lo que Burr estableció hace mucho tiempo. Pero Grazzi admite que el sistema de Burr duró 14 años, y espera que su revisión de reglas de contraseñas dure un tiempo similar. Por esto, sugiere que los sistemas eliminen la actualización de contraseña de 90 días y el requisito de caracteres especiales.
En última instancia, la práctica común para todos es utilizar ideas familiares, fácilmente ligadas, como el nombre de tu película favorita o mascota. En su lugar, te recomendamos crear una frase de palabras que puedas recordar pero que no tenga mucho sentido, y que no incluya espacios. Los administradores de contraseñas como LastPass también son útiles cuando se requiere que recuerdes una multitud de contraseñas únicas a través de docenas de servicios.