Un grupo de investigadores de CyLab, el laboratorio de seguridad y privacidad de la Universidad Carnegie Mellon, han presentado un estudio con el que dicen haber desarrollado una política de creación de contraseñas que son fáciles de recordar y más seguras, una que está respaldada por la ciencia.

Tras más de una década estudiando el problema, dicen que este método mantiene el balance ideal entre seguridad y usabilidad: "Olviden todas las reglas sobre letras mayúsculas y minúsculas, números y símbolos; tu contraseña solo necesita al menos 12 caracteres y debe pasar una prueba de fortaleza en tiempo real desarrollada por los investigadores".

La poca utilidad de añadir símbolos, caracteres especiales y números solo porque sí

Según los datos recopilados durante la investigación, añadir mayúsculas, símbolos, números, y caracteres especiales no aumenta la seguridad de la contraseña tanto como otros requerimientos, y además tiende a tener un impacto negativo en la usabilidad del password.

De hecho, a una conclusión similar llegó hace algunos años Bill Burr, la misma persona que recomendó originalmente que usáramos caracteres especiales y cambiáramos de contraseñas constantemente. "Es completamente inútil" dijo, ahora para Burr lo más importante de una contraseña segura es la longitud.

Los científicos de CyLab han invertido años y mucho más trabajo en intentar probar esto. Para ello, en 2016 desarrollaron un "medidor de fortaleza de contraseña" alimentado por una red neuronal artificial que era lo suficientemente pequeño para integrarlo en un navegador web.

El medidor hace cosas como que una vez que has creado una contraseña con al menos 10 caracteres, te empieza a dar sugerencias para hacerla más fuerte y lograr un "mínimo de fortaleza", ya sea añadiendo algún carácter adicional o dividiendo palabras comunes.

Con ese medidor, los investigadores empezaron a hacer experimentos evaluando combinaciones de diferentes políticas de creación de contraseñas. En estos experimentos se les pidió a los participantes que crearan y recordaran contraseñas con políticas asignadas al azar, como por ejemplo requerir un mínimo de caracteres, obligar a usar caracteres especiales, bloqueando el uso de contraseñas inseguras (tipo 123456 o qwerty), etc.

La longitud mínima ideal es de 12 caracteres

Los primeros participantes tenían que ponerse en los zapatos de alguien que se acababa de enterar de que su proveedor de email había sufrido una brecha de datos y necesitaba cambiar su contraseña de inmediato. Unos días después se les pedía que recordaran su contraseña como medidor de usabilidad de la política de contraseñas a la que se sometieron.

Los investigadores encontraron que, una política que requiere tanto un mínimo de fortaleza (determinado por su medidor) como un mínimo de longitud de 12 caracteres, logró un buen balance entre seguridad y usabilidad.

Es menos fastidioso para un usuario escribir una contraseña más larga en lugar de una con más caracteres especiales, y resulta que también es más seguro

Básicamente, su estudio encontró que las políticas de un mínimo de fortaleza de contraseñas pueden proteger contra ataques online ya sea requiriendo que el usuario ingrese más tipos de caracteres o escriba contraseñas más largas. Sin embargo, aumentar el límite mínimo de la contraseña logra mayor seguridad a un menor costo en usabilidad, especialmente en el tiempo que le toma al usuario crear una contraseña que cumpla con la exigencia y en qué tan fastidioso le resulte.

Una política de seguridad útil en combinación con esta es que los servicios utilicen listas negras de contraseñas inseguras para que el usuario no pueda utilizarlas. Los investigadores recomiendan que esas listas verifiquen que el usuario no use contraseñas comúnmente filtradas.

El mundo digital lleva años y años persiguiendo la seguridad en las contraseñas, pero incluso las medidas más básicas siguen sin calar entre el público general. No es sorpresa entonces que una y otra, y otra vez, las contraseñas más usadas siguen siendo las mismas terribles como '123456'.

Cuando una empresa u organización no implementa siquiera políticas de fortaleza mínimas como impedir que el usuario use "password" como password, no podemos culpar solo al usuario.

Esta investigación ofrece la idea de que con exigir mínimo una contraseña de 12 caracteres aumentas bastante la seguridad, y ofrece una herramienta que se puede implementar en los navegadores para guiar al usuario a crear una más segura, en lugar de ofrecer el semáforo tradicional que solo te dice "débil, fuerte, muy fuerte".

Imágenes | Marcos Merino mediante IA

