El consejo no cambió durante décadas: use contraseñas complejas con mayúsculas, minúsculas, números y símbolos. La idea es hacer que los piratas informáticos tengan más dificultades para descifrar las contraseñas mediante métodos de fuerza bruta. Pero orientación más reciente muestra que debemos centrarnos en la longitud de la contraseña, más que en la complejidad. La longitud es el factor de seguridad más importante, y las contraseñas son la forma más sencilla para que tus usuarios creen (¡y recuerden!) contraseñas más largas.

Las matemáticas que importan

Cuando los atacantes roban los hashes de contraseñas de una violación, fuerza bruta haciendo millones de conjeturas por segundo hasta que algo coincida. El tiempo que lleve esto depende de una cosa: del número de combinaciones posibles que existan.

Una contraseña tradicional «compleja» de 8 caracteres (P @ssw0rd!) ofrece aproximadamente 218 billones de combinaciones. Suena impresionante hasta que te das cuenta de que las configuraciones de GPU modernas pueden probar esas combinaciones en meses, no en años. Auméntalo a 16 caracteres usando solo letras minúsculas y obtendrás 26^16 combinaciones, miles de millones de veces más difíciles de descifrar.

Esta es la entropía efectiva: la aleatoriedad real con la que debe trabajar un atacante. Tres o cuatro palabras comunes aleatorias encadenadas entre sí («carpet-static-pretzel-invoke») generan mucha más entropía que agrupar símbolos en cadenas cortas. Y los usuarios pueden realmente recordarlas.

Por qué las contraseñas triunfan en todos los frentes

Los argumentos a favor de las contraseñas no son teóricos, sino operativos:

Menos reinicios. Cuando las contraseñas son memorables, los usuarios dejan de escribirlas en notas adhesivas o de reciclar variaciones similares entre cuentas. Los tickets del servicio de asistencia se reducen, lo que por sí solo debería justificar el cambio.

Mejor resistencia al ataque. Los atacantes optimizan los patrones. Comprueban las palabras del diccionario con sustituciones comunes (@ para a, 0 para o) porque eso es lo que hace la gente. Una frase de contraseña de cuatro palabras elude por completo estos patrones, pero solo cuando las palabras son verdaderamente aleatorias y no están relacionadas.

Alineado con las directrices actuales. El NIST ha sido claro : priorice la longitud sobre la complejidad forzada. El mínimo tradicional de 8 caracteres realmente debería ser cosa del pasado.

Una regla que vale la pena seguir

Deje de administrar 47 requisitos de contraseña. Dé a los usuarios una instrucción clara:

Elige entre 3 y 4 palabras comunes no relacionadas y un separador. Evita las letras de las canciones, los nombres propios o las frases famosas. Nunca lo reutilices en varias cuentas.

Ejemplos: horno portátil Mango-Glacier o grillo.carretera.mostaza.piano

Eso es todo. No hay mayúsculas obligatorias, no se requieren símbolos, no hay teatro complejo. Solo longitud y aleatoriedad.

Desplegarlo sin caos

Los cambios en la autenticación pueden generar resistencia. A continuación, te explicamos cómo minimizar la fricción:

Comience con un grupo piloto, reúna de 50 a 100 usuarios de diferentes departamentos. Bríndeles las nuevas directrices y supervise (pero no las haga cumplir) durante dos semanas. Presta atención a los patrones: ¿La gente usa por defecto frases de la cultura pop? ¿Cumplen los requisitos de longitud mínima de manera constante?

A continuación, pasa al modo de solo advertencia en toda la organización. Los usuarios reciben alertas cuando su nueva contraseña es débil o se ha visto comprometida, pero no están bloqueadas. Esto crea conciencia sin crear cuellos de botella en cuanto al soporte.

Haga cumplir la ley solo después de haber medido:

  • Porcentaje de adopción de contraseñas
  • Reducción del restablecimiento del servicio de asistencia
  • Salidas de tu lista de bloqueadas con contraseñas prohibidas
  • Puntos de fricción informados por los usuarios

Rastrea estos indicadores como KPI. Le dirán si esto funciona mejor que la política anterior.

Hacer que siga con las herramientas políticas adecuadas

La política de contraseñas de Active Directory necesita tres actualizaciones para admitir correctamente las contraseñas:

  1. Aumente la longitud mínima. Pasa de 8 a más de 14 personajes. Esto admite las contraseñas sin crear problemas para los usuarios que siguen prefiriendo las contraseñas tradicionales.
  2. Elimine las comprobaciones de complejidad forzadas. Deja de requerir mayúsculas, números y símbolos. La longitud ofrece una mayor seguridad con menos fricción para el usuario.
  3. Bloquee las credenciales comprometidas. Esto no es negociable. Incluso la contraseña más segura no sirve de nada si ya se ha filtrado en una infracción. Tu política debería comprobar en tiempo real los envíos comparándolos con las listas que se sabe que están comprometidas.

Restablecimiento de contraseña de autoservicio (SSPR) puede ayudar durante la transición. Los usuarios pueden actualizar las credenciales de forma segura cuando quieran, y su servicio de asistencia no debería ser el obstáculo.

La auditoría de contraseñas le brinda visibilidad de las tasas de adopción. Puedes identificar las cuentas que aún utilizan contraseñas cortas o patrones comunes y, luego, dirigirte a esos usuarios con orientación adicional.

Herramientas como Política de contraseñas de Specops gestiona las tres funciones: ampliar los mínimos de las políticas, bloquear más de 4 mil millones de contraseñas comprometidas e integrarse con los flujos de trabajo de SSPR. Las actualizaciones de las políticas se sincronizan con Active Directory y Azure AD sin necesidad de infraestructura adicional, y la lista de bloqueos se actualiza a diario a medida que surgen nuevas infracciones.

Cómo se ve esto en la práctica

Imagine que su política requiere 15 caracteres pero elimina todas las reglas de complejidad. Un usuario crea boceto de fuente con posavasos durante su próximo cambio de contraseña. Una herramienta como Política de contraseñas de Specops lo compara con la base de datos de contraseñas comprometida: está limpio. El usuario lo recuerda sin un administrador de contraseñas porque se trata de cuatro imágenes concretas enlazadas entre sí. No lo reutilizan porque saben que es específico de esta cuenta.

Seis meses después, sin solicitud de restablecimiento. Sin notas adhesivas ni llamadas al servicio de asistencia porque habían metido un símbolo con el dedo gordo. Nada revolucionario, solo simple y efectivo.

La seguridad que realmente necesita

Las contraseñas no son una fórmula mágica. La MFA sigue siendo importante . La supervisión comprometida de las credenciales sigue siendo importante. Sin embargo, si está gastando recursos en cambiar la política de contraseñas, aquí es donde debe gastarlos: mínimos más largos, reglas más simples y protección real contra la violación de las credenciales.

Los atacantes siguen robando hashes y forzándolos a desconectarlos por la fuerza bruta. Lo que sí ha cambiado es que entendemos qué es lo que realmente los ralentiza, por lo que tu próxima política de contraseñas debería reflejar eso. ¿Estás interesado en probarlo? Reserve una demostración en vivo de la política de contraseñas de Specops .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.