Las reglas para crear contraseñas seguras no sirven de mucho, aunque haya muchas webs que nos obligan a usarlas.

Todo el mundo lo ha sufrido alguna vez. Estás creando una cuenta nueva, metes la contraseña, y la web te la rechaza porque no cumple con sus requisitos.

No solo eso, sino que muy raramente las webs publican esos requisitos; así que no tienes más remedio que ir probando una y otra vez. Ahora tienes que llegar a una cantidad de caracteres. Luego se queja de que no has metido una letra en mayúscula. Luego tienes que meter un número. A continuación te pide meter un carácter especial….

Unas reglas que nacieron en la era del pánico en Internet

Puede llegar a ser desesperante, sobre todo porque cada web tiene sus propias reglas. Pero lo más importante es, ¿realmente mejora la seguridad seguir esas reglas? La mayoría de los expertos de seguridad piensan que no, y ahora el mismísimo autor de esas reglas admite que son inútiles.

Bill Burr creó en 2003 en el NIST (National Institute of Standards and Technology) un estándar para crear contraseñas seguras; el borrador no era muy largo, de apenas ocho páginas, pero fue mucho más influyente de lo que el propio Burr esperaba.

hacker

Hay que tener en cuenta el contexto. Fue a principios de los 2000 cuando la seguridad en la red realmente fue un tema de conversación para todo el mundo; hasta entonces era algo que sólo interesaba a los profesionales.

Con la popularización de virus y gusanos, y los primeros grandes ataques hacker que afectaron al usuario común, las buenas prácticas empezaron a tomar forma. No solo sobre contraseñas, sino sobre medidas que podíamos tomar para evitar que un hacker entrase en nuestro ordenador.

Hubo un cierto pánico, avivado por empresas de seguridad y por los medios de comunicación; muchos usuarios buscaban los métodos perfectos para luchar contra estas amenazas. Et voilà, una guía para conseguir contraseñas seguras creada por un experto.

Las reglas para crear contraseñas seguras no sirven para la red actual

Excepto que Burr no era un experto. De hecho, Burr no tenía ni idea de cómo funcionaban los sistemas de identificación por contraseña. Y ahora, con 72 años y ya retirado, cree que hay llegado el momento de arrepentirse públicamente.

No es que hubiese malicia en sus acciones; simplemente que para crear ese documento, se basó en un estudio escrito en los 80 que no tenía mucho que ver con lo que se hacía en la actualidad.

login-username-password

Hoy en día ya sabemos que una contraseña no es más segura sólo por contener caracteres especiales; que un signo de interrogación al final de una contraseña de cinco caracteres no hace absolutamente nada por mejorar la seguridad. De hecho, es mucho mejor crear una contraseña larga compuesta por varias palabras seguidas, que podamos recordar fácilmente.

El daño ya está hecho, sin embargo. La inmensa mayoría de las webs tienen algún tipo de requisito con sus contraseñas, unos requisitos que sólo ayudan a crear contraseñas que olvidamos fácilmente; y por lo tanto, tenemos que escribir o guardar en algún lado, destruyendo el propósito de una contraseña.

En defensa de Burr, la noción de que una contraseña es más segura si es más complicada está ya arraigada en nuestra sociedad; incluso aunque sepamos que no es correcto, cada nueva web que nace lo hace con estas reglas. Para bien o para mal, ya forman parte de Internet.