Subscribe Us

TECNOLOGIA. Una política de contraseñas segura y utilizable respaldada por la ciencia

 


Después de casi una década de estudios, el grupo de investigación de contraseñas del Instituto de Privacidad y Seguridad CyLab de Carnegie Mellon ha desarrollado una política para la creación de contraseñas que mantiene el equilibrio entre la seguridad y la usabilidad, respaldada por ciencia sólida .

Olvídese de todas las reglas sobre letras mayúsculas y minúsculas, números y símbolos; su  solo debe tener al menos 12 caracteres y debe pasar una prueba de fuerza en tiempo real desarrollada por los investigadores.

El estudio se presentará en la Conferencia ACM sobre seguridad informática y de comunicaciones del próximo mes , que se llevará a cabo de forma virtual.

La política que han desarrollado los investigadores permite a los usuarios crear contraseñas que son más fáciles de recordar y más seguras contra atacantes sofisticados. Los datos muestran que requerir más clases de caracteres (letras mayúsculas, símbolos y dígitos) no aumenta la seguridad de la contraseña tanto como otros requisitos y tiende a tener  en la usabilidad de la contraseña.

En 2016, los investigadores desarrollaron un medidor de seguridad de contraseñas impulsado por una red neuronal artificial que era de tamaño relativamente pequeño: unos pocos cientos de kilobytes, que es lo suficientemente pequeño como para codificarse en un navegador web. El medidor de fuerza les dio a los usuarios una puntuación de fuerza y ​​ofreció sugerencias en tiempo real. Vea una demostración del medidor .

"Fue una especie de cambio de juego", dice Lujo Bauer, profesor de ingeniería eléctrica e informática (ECE) e ISR, "... porque hasta entonces ningún otro medidor de contraseñas ofrecía información precisa, basada en datos y en tiempo real sobre cómo fortalecer las contraseñas ".

Equipados con este medidor de contraseñas de última generación, los investigadores abordaron las políticas de contraseñas desde una perspectiva completamente nueva: con la idea de que una contraseña debe alcanzar un cierto umbral en su medidor de contraseñas. Esta nueva perspectiva llevó a los investigadores a descubrir un umbral entre la fuerza y ​​la longitud de la contraseña, uno que hace que los usuarios creen contraseñas que son más fuertes y más utilizables de lo que lo harían con las políticas de contraseñas comunes.

La nueva guía sobre las políticas de contraseñas, permitirá a las empresas y organizaciones puedan adoptar las recomendaciones del estudio.

Para llegar a este descubrimiento, los investigadores llevaron a cabo experimentos en línea, evaluando combinaciones de requisitos de longitud mínima, requisitos de clase de caracteres, requisitos de fuerza mínima y listas de bloqueo de contraseñas, listas de palabras que no deberían permitirse usar en contraseñas debido a su uso común.

En los experimentos en línea, se pidió a los participantes del estudio que crearan y recordaran contraseñas bajo políticas de contraseña asignadas al azar. Primero, los participantes asumieron el rol de alguien cuyo proveedor de correo electrónico había sido violado y necesitaba crear una nueva contraseña de acuerdo con su política asignada. Luego, unos días después, se les pidió que recordaran su contraseña como una forma de medir la usabilidad de la política de contraseñas.

Los investigadores descubrieron que una  requería tanto una fuerza mínima como una longitud mínima de 12 caracteres lograba un buen equilibrio entre seguridad y usabilidad.

Aunque las políticas de lista de bloqueo y de fuerza mínima pueden producir resultados similares, las políticas de fuerza mínima se configuran de manera flexible a un nivel de seguridad deseado y son más fáciles de implementar junto con la retroalimentación de requisitos en tiempo real en entornos de alta seguridad.

Fuente: CM Conference on Computer and Communications Security, www.andrew.cmu.edu/user/nicola … ations/Tan-CCS20.pdf

PUBLICIDAD

Publicar un comentario

0 Comentarios