La propuesta de estándares del NIST busca eliminar los requisitos de autenticación obsoletos, como los restablecimientos forzados de contraseñas.

¿Qué es más molesto que cambiar tu contraseña regularmente? Por ejemplo, si trabaja para una empresa estadounidense, la empresa le exigirá que cambie su contraseña cada tres meses. Además, también regulan lo que puede y no puede contener tu contraseña. El regulador de normas ha declarado ahora que la mayoría de las normas sobre bonos están obsoletas y son innecesarias.

El Instituto Nacional de Estándares y Tecnología (NIST) ha propuesto un nuevo estándar de credenciales que espera adoptar. Se publicó un segundo borrador de la Publicación especial 800-63-4 en el sitio web del NIST, a la espera de comentarios del público sobre la contraseña propuesta y la guía de autenticación.

El esquema estándar es conciso y va al grano, pero va en contra de los molestos regímenes de criptografía adoptados por muchas empresas e instituciones. Algunos ejemplos incluyen forzar el restablecimiento de contraseñas, limitar el uso de caracteres, requerir combinaciones de caracteres específicas y usar preguntas de seguridad. Estos requisitos son en gran medida innecesarios. Son una reliquia obsoleta de una época en la que Internet era nueva y la mayoría de la gente no entendía la higiene de seguridad adecuada.

Como señala Microsoft en su Base de referencia de seguridad de 2019, muchas de estas reglas en realidad promueven malos hábitos de seguridad. Por ejemplo, exigir a los empleados que cambien sus contraseñas con frecuencia los alienta a utilizar contraseñas más débiles que son más fáciles de recordar o crear y, por lo tanto, más fáciles de descifrar. La Comisión Federal de Comercio de Estados Unidos está de acuerdo.

Lo mismo ocurre con las reglas que requieren caracteres específicos, como "Las contraseñas deben contener al menos ocho caracteres, incluyendo al menos una letra mayúscula y minúscula, un símbolo especial (como puntuación) y al menos un número". Estas estrictas restricciones a menudo llevan a las personas a utilizar contraseñas como BigToe@1 (un antiguo colega utilizó esta contraseña).

Si bien cualquiera es libre de leer y comentar sobre SP800-63-4, es una lectura desafiante debido a toda la jerga burocrática y las largas explicaciones. La organización considera necesario contar con una sección que defina el significado de "deberá, no deberá", "deberá", "no debería" y otros términos simples. Básicamente, el documento se reduce a nueve requisitos y recomendaciones.

Validador de contraseñas o proveedor de servicios de verificación:

Se debe exigir que las contraseñas tengan al menos 8 caracteres, pero deben tener al menos 15 caracteres.

Se debe permitir una longitud máxima de contraseña de al menos 64 caracteres.

Se deben permitir todos los caracteres ASCII y espacios en las contraseñas.

Se deben aceptar caracteres Unicode en las contraseñas. Al evaluar la longitud de la contraseña, cada punto del código Unicode debe contarse como un carácter.

No se pueden imponer otras reglas de composición a las contraseñas (como exigir una combinación de diferentes tipos de caracteres).

No se debe exigir a los usuarios que cambien sus contraseñas periódicamente. Sin embargo, si hay evidencia de que el validador se ha visto comprometido, el verificador debe forzar un cambio de contraseña.

No se debe permitir que los usuarios almacenen propinas que sean accesibles para solicitantes no certificados.

No se debe solicitar a los usuarios que utilicen autenticación basada en conocimientos (KBA) (como "¿Cómo se llamaba su primera mascota?") ni preguntas de seguridad al seleccionar una contraseña.

Se debe verificar toda la contraseña enviada (es decir, la contraseña no se trunca).

La regla ocho tiene mucho sentido considerando la descabellada suposición de que no hay manera de que un hacker sepa o averigüe la mascota de la escuela secundaria o el apellido de soltera del objetivo. Sin embargo, la regla siete parece una "contradicción en sí misma". Solo verá la solicitud de contraseña si está autenticado, pero si no puede recordar su contraseña sin la solicitud de contraseña, no podrá autenticarse. Por lo demás, estas directrices parecen de sentido común, algo que, en mi opinión, suele faltar.

El NIST gestiona los estándares dentro del gobierno y no tiene autoridad para hacer cumplir la ley sobre las empresas privadas. Por ejemplo, garantiza que todas las bocas de incendio utilicen accesorios estandarizados y entreguen la misma cantidad de agua sin importar a dónde vayan, al tiempo que garantiza los estándares de mantenimiento.

En términos generales, sólo las agencias gubernamentales y las empresas u organizaciones que tratan directamente con el gobierno pueden cumplir con estas reglas. Por ejemplo, el IRS debe adoptar las pautas del NIST, pero Meta puede ignorarlas. Aún así, muchos estándares del NIST llegan a organizaciones privadas en industrias donde se aplican las reglas. El Marco de Ciberseguridad del NIST es un buen ejemplo.