Las nuevas normas del NIST revolucionan la forma en que protegemos nuestras cuentas
Después de años siguiendo la regla de actualizar nuestras contraseñas cada cierto tiempo, el Instituto Nacional de Estándares y Tecnología (NIST) ha decidido que ya no es necesario. Este organismo, que emite pautas sobre ciberseguridad, ha dado un giro en sus recomendaciones para mantener la seguridad en nuestras cuentas. Según informa Xataka, ya no hace falta usar una mezcla de números, símbolos y letras en mayúsculas si optamos por contraseñas más largas y robustas.
Lo que recomienda el NIST
El NIST, una organización estadounidense especializada en directrices de seguridad, ha presentado nuevas recomendaciones. Según su informe, ya no es necesario cambiar las contraseñas periódicamente, a menos que haya evidencia de que han sido comprometidas. Además, sugieren que dejar de usar reglas estrictas para la combinación de caracteres (como mayúsculas, símbolos y números) podría, en realidad, mejorar la seguridad.
¿Por qué este cambio?
Pues resulta que, cuando nos exigen modificar nuestras contraseñas constantemente, tendemos a crear combinaciones más simples y fáciles de recordar, lo que las hace menos seguras. En su lugar, el NIST recomienda usar contraseñas más largas y significativas, como frases o fragmentos de canciones, que son mucho más difíciles de descifrar.
¿Cuánto tiempo puede tardar un hacker en romper una contraseña?
El informe anual de Hive Systems muestra cuánto tardaría un atacante en descifrar una contraseña con 8 GPUs (un tipo de tarjeta gráfica potente).
Por ejemplo:
Una contraseña de 4 caracteres (números, símbolos, mayúsculas y minúsculas): 23 segundos.
Una contraseña de 8 caracteres: 17 años.
Y una de 12 caracteres (solo letras mayúsculas y minúsculas): ¡2.000 años!
El objetivo no es tener una contraseña indescifrable, sino hacerla tan complicada que nadie quiera gastar el dinero ni los recursos en romperla.
Verificación en dos pasos, tu mejor aliada Además de una contraseña sólida, el NIST recomienda usar la verificación en dos pasos (2FA). Eso sí, mejor evita los mensajes de texto, ya que también son vulnerables, y opta por aplicaciones o métodos más seguros.
¿Qué pasa con las empresas? Las compañías privadas no están obligadas a seguir las recomendaciones del NIST, a menos que trabajen con el gobierno de EE.UU. Sin embargo, como el NIST es un referente en ciberseguridad, es probable que más empresas adopten estas prácticas en un futuro cercano.
