Origen: La estricta política de contraseña podría impedir la reutilización en múltiples servicios
Opinión: Si somos capaces de establecer una política de contraseñas tanto en el ámbito particular como empresarial, podríamos disminuir el riesgo de accesos no autorizados. En el ámbito empresarial es fundamental el establecimiento de unas buenas políticas pero en el ámbito particular.
Seamos realistas: es complicado el exigir a todos los componentes de la familia que establezcan unas contraseñas robustas, porque eso implicaría que estas contraseñas terminarán estando escritas en algún trozo de papel, por lo que , intrínsecamente, estaríamos de nuevo, vulnerando la misma política que pretendemos establecer.
En estos casos es mejor una contraseña que sea «fácil» de recordar y que no este escrita en ningún trozo de papel perdido por la mesa, que una contraseña que cada vez que la vayamos a utilizar, miremos en el cajón y esté a la vista de todos.
Los investigadores han encontrado que exigir contraseñas más largas y complejas reduce la probabilidad de que los usuarios las reutilicen en múltiples servicios en línea.
Un equipo de tres académicos de la Universidad de Indiana se dispuso a examinar el impacto de las reglas de prescripción para la creación de contraseñas en la reutilización de contraseñas . Para hacerlo, primero analizaron las políticas de contraseña de 22 universidades en los Estados Unidos. Luego se dividieron en 1.3 mil millones de combinaciones de nombre de usuario / contraseña que están disponibles en línea como resultado de violaciones pasadas. En el proceso, encontraron cerca de 7.4 millones de credenciales de inicio de sesión donde las direcciones de correo electrónico pertenecían al nombre de dominio asociado con las universidades.
«Sobre la base de las direcciones de correo electrónico que pertenecen al dominio de una universidad (verificamos la dirección del dominio .edu), las contraseñas se compilaron y probaron según la política de contraseña prescrita de una universidad», dijeron los investigadores.
Al final, encontraron que cuanto mayor es la longitud mínima prescrita de una contraseña o frase de contraseña , menor es la probabilidad de que se reutilice en otro sitio.
«Hay una clara tendencia a tener una longitud mínima requerida más alta que reduce la probabilidad de reutilización en varias universidades», según el hallazgo clave en su estudio, llamado » Factores que influyen en la reutilización de contraseñas: un estudio de caso «.
Con su requisito de una longitud mínima de 15 caracteres, la Universidad de Indiana (IU) obtuvo el mejor rendimiento. Como resumió L. Jean Camp , quien es uno de los tres investigadores detrás del documento, el requisito de que una contraseña o frase de contraseña tenga al menos 15 caracteres de largo impidió que casi todos los usuarios de IU (99,98 por ciento) lo reciclaran en otros sitios.
«Otras universidades con menos requisitos de contraseña tuvieron tasas de reutilización potencialmente tan altas como 40 por ciento», dijo. “Menos requisitos de contraseña” aquí significa que la contraseña debe contener solo un mínimo de siete caracteres y que no se requiere más de una combinación de letras y dígitos.
De hecho, casi la misma imagen se pintó cuando se trata de la complejidad de la contraseña. Las universidades que prescribieron contraseñas más complejas tenían una probabilidad mucho menor de reutilizar las contraseñas que las que eran menos estrictas. En este caso, la calificación de mayor complejidad fue equivalente a al menos una letra minúscula, una letra mayúscula, un dígito y un carácter especial.
Sobre la base de sus hallazgos, los investigadores sugirieron cuatro recomendaciones a las organizaciones y al público en general: aumente la longitud mínima de la contraseña más allá de los ocho caracteres, aumente el límite máximo en la longitud de la contraseña, no permita el nombre del usuario ni el nombre de usuario dentro de las contraseñas, y considere la posibilidad de adoptar la autenticación multifactor.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
