• Home
  • Noticias
  • Nuevas Recomendaciones de NIST para la Seguridad de Contraseñas

Nuevas Recomendaciones de NIST para la Seguridad de Contraseñas

NIST Propone Eliminar Políticas Confusas de Contraseñas

El Instituto Nacional de Estándares y Tecnología (NIST), la agencia federal encargada de establecer estándares tecnológicos para organismos gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto eliminar algunas de las políticas de contraseñas más confusas y contraproducentes. Entre los cambios clave se incluyen: el fin de los reinicios obligatorios de contraseñas, la restricción del uso de ciertos caracteres y la eliminación de las preguntas de seguridad.

Crear y gestionar contraseñas seguras es uno de los mayores desafíos en ciberseguridad, especialmente con las reglas impuestas por empleadores, agencias gubernamentales y proveedores de servicios en línea. Aunque estas políticas buscan mejorar la seguridad, muchas veces logran lo contrario.

NIST, en su guía actualizada de Identidad Digital (SP 800-63-4), propone cambios clave. Entre ellos, eliminar la obligación de cambiar contraseñas con regularidad, una política obsoleta que puede debilitar la seguridad al fomentar contraseñas más simples. Además, sugiere que los requisitos de caracteres especiales y mayúsculas no añaden valor cuando las contraseñas son lo suficientemente largas y aleatorias.

Otra recomendación importante es dejar de utilizar preguntas de seguridad para la recuperación de cuentas, ya que estas respuestas suelen ser fáciles de adivinar o encontrar en línea. En lugar de ello, el NIST aboga por sistemas de autenticación multifactorial que mejoran significativamente la seguridad y reducen la dependencia de contraseñas débiles. Estas nuevas directrices buscan simplificar la gestión de contraseñas sin comprometer la protección de las identidades digitales.

 

Nuevas Directrices: Cambios Claves

Las directrices actualizadas de NIST establecen importantes cambios en la gestión de contraseñas. Ahora, los verificadores y proveedores de servicios de credenciales (CSP) no deben imponer reglas específicas sobre la composición de caracteres, como la mezcla obligatoria de tipos de caracteres. Además, tampoco deben exigir cambios periódicos de contraseñas, a menos que exista evidencia de una violación de seguridad.

Para mayor claridad, los «verificadores» son entidades que confirman la identidad de un usuario validando sus credenciales, y los CSP son entidades confiables que gestionan el registro y asignación de autenticadores.

En versiones anteriores, las directrices de NIST sugerían que las organizaciones «no deberían» implementar ciertas prácticas, indicando que se desaconsejaban pero no se prohibían. Sin embargo, el nuevo lenguaje «no deben» deja claro que estas prácticas deben eliminarse para cumplir con los estándares de seguridad.

Otros cambios importantes incluyen:

  • Las contraseñas deben tener al menos 8 caracteres, y se recomienda un mínimo de 15 caracteres.
  • Los sistemas deben permitir contraseñas de hasta 64 caracteres.
  • Se deben permitir todos los caracteres ASCII imprimibles, incluidos los espacios, y también los caracteres Unicode.
  • No se debe truncar ninguna contraseña; el sistema debe verificarla completamente.
  • Los sistemas no deben ofrecer pistas de contraseñas accesibles a usuarios no autorizados.
  • La autenticación basada en preguntas de seguridad ya no debe utilizarse.
 
 

 

Para obtener más información sobre cómo estas tendencias tecnológicas pueden impactar en tu empresa y descubrir soluciones personalizadas que se adapten a tus necesidades, ¡Contáctanos!

Nuestro equipo de expertos está listo para ayudarte a navegar por el futuro de la tecnología y optimizar tu infraestructura para el éxito a largo plazo.

 

Relatetd Post

Comments are closed