En una nota de Lukasz Olejnik se menciona un reciente cambio que ha publicado el NIST (Instituto Nacional de Estándares y Tecnología, del Departamento de Comercio de Estados Unidos) en forma de documento técnico, titulado Recomendaciones sobre Identidad Digital, publicación especial SP 800-63.
Incluye muchas de las consideraciones de seguridad habituales para la gente corriente, aplicaciones y sitios web, y viene a decir que a partir de ahora lo de mezclar estilos (mayúsculas, minúsculas, símbolos…) y lo de cambiar la contraseña periódicamente ya no es algo que se considere «seguro», entre otras cuestiones.
El documento es muy detallado, técnico y fuera del ámbito de interés de los usuarios normales, a quienes quizá sólo interese saber un poco por encima cuáles son estas nuevas consideraciones.
En general parece que el NIST ha usado el sentido común y recogido tanto las peticiones de los expertos como el saber de las multitudes y los usos corrientes. Respecto a las contraseñas y sistemas de autenticación de usuarios, en concreto, las aplicaciones y sitios web…
Deberían:
- Deberían requerir contraseñas de al menos 8 caracteres (15 a ser posible).
- Deberían admitir contraseñas de hasta 64 caracteres.
- Deberían admitirse espacios, caracteres ASCII y Unicode.
Y cambio NO deberían:
- No deberían imponer otras reglas de composición («combinación de estilos», como mayúculas/minúsculas/números).
- No deberían imponer cambiar contraseñas periódicamente, a menos que estén comprometidas o haya habido algún problema de seguridad concreto.
- No deberían mostrar «pistas» si no se está autenticado.
- No deberían sugerir contraseñas o pistas para cambiar la contraseña del tipo «el nombre de tu perro».
Así que si eres un simple usuario no tienes mucho más que hacer. Pero si desarrollas un app, gestionas un sitio web o estás planeando diseñar o gestionar uno, ya estás tardando en modernizarte y considerar estas reglas como las más adecuadas y convenientes.