Consulta el medidor de contraseñas de los investigadores en GitHub para ver cómo la aplicación web de código abierto determina la fortaleza de una contraseña y luego utiliza la retroalimentación de los datos para hacerla más fuerte.
Incluso con el desdén acumulado en las contraseñas digitales, se las arreglan para sobrevivir, ¿y me atrevo a decir que prosperan? Añadiendo el insulto a la lesión, la «contraseña» es probablemente la contraseña más popular en uso.
Es una apuesta bastante segura que cualquiera que lea este artículo sabe muy bien por qué usar una contraseña como contraseña no es una buena idea. Así que en lugar de predicar al coro, veamos por qué la contraseña es una contraseña tan popular y aprendamos sobre una forma indolora de mejorar la selección de contraseñas.
VER: Política de administración de contraseñas(Tech Pro Research)
Problemas comunes con los medidores de contraseñas
Los profesionales nuevos en ciberseguridad no tardan mucho en darse cuenta de que la comodidad suele vencer a la seguridad, por lo que la contraseña y 123456 son las contraseñas más populares. Es sólo la naturaleza humana, y no hay forma de evitarlo, ¿o sí?
Algunas personas pueden sugerir el uso de medidores de contraseña. Si bien los medidores de contraseñas son excelentes para informarnos sobre si las contraseñas son lo suficientemente sólidas de acuerdo con las mejores prácticas actuales, ¿son realmente útiles?
«Uno de nuestros hallazgos es que los medidores de contraseñas no mejoran mucho al ayudar a los usuarios a elegir contraseñas para cuentas sin importancia, pero se utilizan comúnmente en tales contextos», escriben los autores del artículo de investigación Does My Password Go up to Eleven? El Impacto de los Medidores de Contraseña en la Selección de Contraseña (PDF. «Del mismo modo, cuando los medidores marcan la diferencia -cambios de contraseña para cuentas importantes-, se ven con menos frecuencia. Por lo tanto, la práctica en sitios reales parece estar muy lejos de lo que dictan nuestros resultados. Esto indica una oportunidad real de mejora».
Hay otro problema con los medidores de contraseñas: Si una contraseña se considera inaceptable, el usuario tiene que adivinar cómo fortalecer la contraseña, y por lo general intenta hacerlo varias veces y luego termina frustrado con el proceso. (Los lectores de este artículo probablemente sepan cómo fortalecer una contraseña para apaciguar una aplicación de prueba de contraseñas.
«En lugar de tener un medidor que diga:’Tu contraseña es mala’, pensamos que sería útil que el medidor dijera:’Aquí está la razón por la que es mala y aquí está la forma de mejorar'», dice Nicolas Christin, profesor del Departamento de Ingeniería y Políticas Públicas de la Universidad Carnegie Mellon en este comunicado de prensa de Daniel Tkacik.
VER: Las empresas que le obligan a cambiar su contraseña no tienen ni idea, dice el jefe de seguridad cibernética (ConsejoTecnologico.com)
Por qué la retroalimentación basada en datos marca la diferencia
Este equipo de investigadores de la Universidad Carnegie Mellon y la Universidad de Chicago estaban en una búsqueda para ayudar a los usuarios a crear contraseñas seguras, y se centraron en el hecho de que la mayoría de las contraseñas son relativamente simples de determinar utilizando crackers de contraseñas y tablas arco iris.
Más información sobre ciberseguridad
«La forma en que los atacantes adivinan las contraseñas es explotando los patrones que observan en grandes conjuntos de datos de contraseñas violadas», dijo Blase Ur, autor líder del estudio y actualmente profesor asistente del Departamento de Informática de la Universidad de Chicago. «Por ejemplo, si cambias’Es’ por’3s’ en tu contraseña, eso no va a engañar a un atacante.»
«El resultado clave es que proporcionar la retroalimentación basada en datos marca una gran diferencia en la seguridad en comparación con tener una contraseña etiquetada como débil o fuerte», continúa Ur en el comunicado de prensa. «Nuestro nuevo medidor lleva a los usuarios a crear contraseñas más fuertes que no son más difíciles de recordar que las contraseñas creadas sin la retroalimentación.»
En el comunicado de prensa, Tkacik escribe que para compilar la retroalimentación basada en datos, los investigadores desarrollaron una red neuronal artificial, un mapa grande y complejo de información que se asemeja a la forma en que las neuronas se comportan en el cerebro. «La red’aprende’ escaneando millones de contraseñas existentes e identificando tendencias», continúa Tkacik. «Si el medidor detecta una característica en una contraseña que sabe que los atacantes pueden adivinar, se lo dice al usuario.»
El equipo de investigación tiene un modelo de trabajo de su medidor de contraseña en línea. La muestra una contraseña que es razonablemente sólida, pero que podría fortalecerse fácilmente si se tienen en cuenta los consejos enumerados. Una característica agradable es que la retroalimentación se presenta en tiempo real a medida que el usuario escribe la información.
El equipo ha abierto el código fuente del medidor de contraseñas en GitHub. «Hay muchos ajustes diferentes que uno podría imaginar hacer para una aplicación específica del medidor», dijo Ur a Tkacik. «Esperamos hacer algo de eso nosotros mismos, y también involucrar a otros miembros de la comunidad de seguridad y privacidad para ayudar a contribuir con el medidor».
Otros autores del estudio incluyeron a los actuales estudiantes de la CMU, Jessica Colnago, Henry Dixon, Pardis Emami-Naeini, Hana Habib, Noah Johnson y William Melicher; a los ex estudiantes de la CMU, Felicia Alfieri y Maung Aung; y Lujo Bauer, profesor asociado del ISR y del Departamento de Ingeniería Eléctrica e Informática; y a Lorrie Faith Cranor, profesora de ciencias de la computación e ingeniería y políticas públicas.
Reflexión final
Se ha dado una gran cantidad de prensa técnica a la humilde contraseña. Hasta que se jubile oficialmente, parece prudente apoyar la autenticación de contraseñas y los esfuerzos para mejorar su eficacia.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves