Le han engañado acerca de lo que constituye una buena contraseña

La contraseña debe incluir letras mayúsculas y minúsculas y al menos un carácter numérico. Un regaño común repartido por sitios web o software cuando abre una cuenta o cambia una contraseña, y que una nueva investigación sugiere que es engañoso.





Un estudio que probó técnicas de adivinación de contraseñas de última generación descubrió que requerir números y caracteres en mayúsculas en las contraseñas no ayuda mucho a fortalecerlas. Hacer una contraseña más larga o incluir símbolos fue mucho más efectivo.

Los ataques son ahora más sofisticados y esas contramedidas de mejores prácticas están un poco desincronizadas, dice Matteo Dell'Amico, investigador de Symantec Research. Trabajó con Maurizio Filippone en el instituto de investigación francés. Eurecom . La pareja presentó un papel sobre su trabajo en la conferencia ACM Computer and Communications Security la semana pasada.

Las recomendaciones de que incluyamos una combinación de mayúsculas y minúsculas, símbolos y números en las contraseñas se originan en la idea de que se reduce la posibilidad de que el software adivine correctamente y prueba sistemáticamente cada combinación de caracteres, dice Dell'Amico. Los medidores de contraseñas que brindan información sobre la seguridad de una contraseña funcionan de la misma manera.



Pero el último software de adivinación de contraseñas es más inteligente que simplemente adivinar al azar. En cambio, se entrena utilizando listas filtradas de millones de contraseñas para hacer conjeturas que prueben las contraseñas, o los patrones encontrados en las contraseñas, que se usan con más frecuencia primero. El software de adivinación de contraseñas se puede usar para tratar de revelar contraseñas cifradas incorrectamente filtradas en línea, como los 130 millones tomados de Adobe en 2013, o para acceder directamente a software o dispositivos protegidos con contraseña que no limitan los intentos de adivinación.

Dell'Amico y Filippone idearon una nueva forma de medir la seguridad de una contraseña que tiene eso en cuenta. Entrenaron software de ataque, lo usaron para generar listas de contraseñas e inventaron una forma de usarlas para asignar una especie de puntaje de adivinabilidad a cualquier contraseña dada. Utilizaron 10 millones de contraseñas filtradas para entrenar varios tipos de software de ataque y probaron su método de adivinabilidad en otros 32 millones de contraseñas.

Los resultados muestran que hacer una contraseña más larga o agregar símbolos es una mejor manera de fortalecerla que agregar caracteres en mayúsculas o números. Esto se debe a que las personas tienden a agregar caracteres en mayúsculas al comienzo de las contraseñas y números al final, y los métodos de ataque de contraseñas pueden aprovechar eso, dice Dell'Amico. Básicamente, necesitas hacer que tus contraseñas sean menos predecibles, dice. El nuevo método podría usarse para crear formas más precisas de dar a las personas una idea de la seguridad de una contraseña, dice Dell'Amico.



Una buena manera de hacerlo es importante, pero durante mucho tiempo ha resultado difícil de alcanzar, dice Mark Burnett, un investigador de seguridad que publicó una de las bases de datos de investigación de contraseñas utilizadas en el estudio. No he visto ninguna manera que sea perfecta, pero este es probablemente el mejor intento que he visto, dice. Este tipo de investigación nos ayuda a ser más inteligentes sobre lo que hace que las contraseñas sean más seguras, los consejos que brindamos y ver hacia dónde debemos ir a partir de ahora.

El consejo de Burnett para la próxima vez que elija o cambie una contraseña es que una vez que encuentre una, debe encontrar una manera de hacerla más larga, tal vez agregando una o dos palabras. Su consejo para la industria informática es encontrar alternativas al uso de contraseñas tan ampliamente como lo hacemos hoy. Las contraseñas son cada vez más largas y estamos llegando al punto en que van a perder su utilidad, dice.

esconder