L’Institut de Tecnologia i Estàndards nord-americà considera que les modificacions habituals propicien opcions menys segures.

Experts de l’Institut de Tecnologia i Estàndards nord-americà (NIST) han actualitzat les pautes per garantir la seguretat de les contrasenyes, i han eliminat la recomanació de canviar les contrasenyes de forma periòdica, ja que pot crear l’efecte contrari en fer que els usuaris cada cop busquin opcions de contrasenya menys segures.

Les contrasenyes són una de les formes d’autenticació més utilitzades pels usuaris, ja sigui a l’hora d’iniciar sessió en un servei, com a barrera per emmagatzemar informació personal o desbloquejar dispositius.

Es tracta d’un codi format per una sèrie de caràcters que els usuaris generen de manera secreta. En aquest sentit, per garantir la seguretat d’aquestes claus, els experts habitualment recomanen que tinguin una longitud determinada i combinin lletres, números, símbols, majúscules i minúscules, i fins i tot indiquen la necessitat de canviar-les cada cert temps per evitar que es puguin utilitzar a cas de filtració.

Menys resistents a ciberatacs

Aquest tipus de pautes s’han recomanat durant els últims anys com a mesures fiables de seguretat, però el NIST, organisme nord-americà dedicat a fixar estàndards tecnològics per a organitzacions governamentals i privades, ha desmuntat algunes d’aquestes recomanacions en la seva última versió pública del document de Directrius sobre identitat digital.

Concretament, una d’aquestes rectificacions revisa la recomanació de canviar periòdicament les contrasenyes. Tal com detalla el NIST a l’apartat d’Autenticadors de contrasenyes, els verificadors i les polítiques de seguretat de contingut (CSP) “no han d’exigir els usuaris” que duguin a terme aquesta recomanació, tret que hi hagi una evidència que “l’autenticador està compromès”.

Això és perquè, segons ha explicat l’organisme, els usuaris tendeixen a generar contrasenyes cada vegada més senzilles que puguin recordar quan les han de canviar de manera habitual. Això fa que siguin menys resistents davant de ciberatacs i filtracions de dades.

Respostes predictibles

D’altra banda, els experts del NIST també han fet referència a la recomanació de fer servir diferents tipus de caràcters dins d’una mateixa contrasenya. Sobre això, s’ha detallat que els verificadors i CSP “no han d’imposar altres regles de composició” per a les contrasenyes.

Tot i que aquestes regles de composició s’utilitzen per augmentar la dificultat per endevinar les contrasenyes triades per l’usuari, “les investigacions recents han demostrat que els usuaris responen de formes molt predictibles als requisits imposats per les regles de composició”.

Com assenyalen, aquestes regles només provoquen canvis com ara introduir un nombre o un símbol totalment predictibles per als ciberdelinqüents. Per exemple, un usuari que triï la paraula ‘contrasenya’ com a contrasenya, “seria relativament probable que triés ‘Contrasenya1’ si se us demanés que inclogués una lletra majúscula i un número o ‘Contrasenya1!’ si també es requereix un símbol“.

Màxim de 64 caràcters

“Les anàlisis de bases de dades de contrasenyes violades revelen que el benefici d’aquestes regles és menys significatiu del que es pensava inicialment, i els impactes a la usabilitat i la capacitat de memoritzar-les són greus”, han sentenciat sobre aquest tema des del NIST.

Tot i aquests canvis en les recomanacions, els experts també han mantingut altres pautes, com la d’assolir una longitud adequada de caràcters en generar una contrasenya per incrementar la dificultat.

Concretament, l’organisme ha detallat que els verificadors i els CSP “han d’exigir que les contrasenyes tinguin un mínim de vuit caràcters de longitud”, encara que també ha assenyalat que, per garantir la seguretat, caldria que les contrasenyes tinguin un mínim de 15 caràcters de longitud. Tot i això, han concretat que la longitud màxima recomanada per a les contrasenyes és de 64 caràcters.