Recientemente, se ha
publicado en GitHub una lista de recursos con reglas excesivamente complejas y simplemente infructuosas para las contraseñas. La selección se está discutiendo activamente y decidimos unirnos a la discusión.
Fotos - Andre Hunter - UnsplashLongitud de contraseña desconocida
Casi todos los sitios tienen restricciones sobre la longitud de la contraseña. Jeff Atwood, autor de Stack Overflow y del blog Coding Horror,
señala que una barra mínima de diez caracteres reduce la posibilidad del usuario de ingresar una contraseña débil o popular en un 80%. Pero hay recursos que informan una longitud mínima de contraseña, pero no indican la presencia de un umbral superior. En la
selección puede encontrar ejemplos de sitios de grandes proveedores, donde se permiten frases de hasta 20 caracteres en el campo de contraseña. Pero puede conocer esta limitación exclusivamente por prueba y error.
Los desarrolladores del sitio del sistema electrónico de pago para carreteras en los Estados Unidos fueron más allá. El campo de contraseña generalmente
trunca los caracteres "extra". Los usuarios no entienden de inmediato por qué las contraseñas no coinciden cuando se ingresan en los campos correspondientes. Existe un problema similar en el sitio web de un operador de Nueva Zelanda. Además, no aparece en todas las páginas. Hay muchos recursos de este tipo: un residente de Hacker News
señala que ya perdió la cuenta, cuántas veces tuvo que modificar manualmente las secuencias de comandos JS en la pestaña Fuente del navegador para que las contraseñas se procesen normalmente.
Se cree que el problema con la "reducción" de las contraseñas está oculto en el método de almacenamiento. Quizás los accesos están en claro (sin hashing), por ejemplo, en una base de datos con el campo varchar.
Cambio de contraseña regularmente
Se cree que si la contraseña es confiable y no se ha resaltado en fugas, entonces cambiarla no
tiene sentido . A principios de año, incluso Microsoft se
negó a cambiar regularmente las contraseñas. Pero no todos siguieron sus pasos. Por ejemplo, una empresa estadounidense que desarrolla aplicaciones para organizaciones de crédito e hipotecas
requiere que los usuarios cambien su contraseña cada seis meses.
Uno de los residentes de Hacker News
dice que su compañía necesita cambiar la contraseña cada tres meses. Esto lo molesta mucho. En este caso, el software, que es responsable de la rotación, confunde el orden de los caracteres especiales al guardar nuevos datos de autenticación. Iniciar sesión con la contraseña modificada se vuelve imposible. Hasta que se corrija la situación, se ve obligado a usar frases alfanuméricas más débiles. El requisito de cambiar regularmente la contraseña también lleva al hecho de que los empleados de la empresa comienzan a reutilizar identificadores anteriores. Otro usuario, HN,
dijo que trabajó con un proveedor de telecomunicaciones, donde un empleado usó solo dos contraseñas para iniciar sesión en su cuenta: "¡Apr1999!" O "Mar1999!". Cumplieron los requisitos de contraseña solo formalmente: letras mayúsculas y minúsculas, números y símbolos.
Manejo de entrada
No se sabe con certeza cómo apareció la práctica de bloquear la inserción de contraseña. Los ingenieros del Centro Nacional de Ciberseguridad de EE. UU.
Señalan que nadie ha visto ningún artículo científico, estudio, norma o RFC sobre este tema. También dicen que esta es una mala práctica que perjudica la seguridad. Los visitantes de recursos pierden la capacidad de usar administradores y generadores de contraseñas. Como resultado, eligen contraseñas simples para no perder el tiempo y obtener un acceso más rápido a los recursos. El director regional de Microsoft, Troy Hunt, y el
editor de Wired, Joseph Cox, también se
manifestaron en contra de bloquear inserciones.
Foto - Matthew Brodeur - UnsplashTenga en cuenta que el complemento Don't F * ck With Paste para Chrome y Firefox puede solucionar el problema. Además, el problema se puede resolver manualmente en la configuración. Por ejemplo, para un "zorro de fuego", el indicador sobre: config: dom.event.clipboardevents.enabled debe cambiarse a falso . Sin embargo, esto puede interrumpir copiar / pegar en Google Docs. Para combatir el bloqueo de copiar / pegar, uno de los residentes de Hacker News escribió su propio script: AutoHotKey. Lee los datos del portapapeles y luego los imprime uno tras otro en el campo de entrada con un retraso de 100-200 ms.
Quién estandariza las políticas de contraseña
Hay organizaciones que desarrollan estándares para trabajar con contraseñas. Por ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) de
EE .
UU . Compila el marco
NIST 800-63B . Establece que la contraseña
debe tener al menos ocho caracteres de longitud. Al mismo tiempo, se solicita a los sitios que establezcan una longitud máxima de contraseña de al menos 64 caracteres.
La contraseña seleccionada no debe incluirse en la lista de las frases más populares y debe contener letras y números repetidos ("aaaaaa" o "1234abcd"). Los ingenieros de Sophos, un fabricante de herramientas de seguridad de la información para servidores y PC,
prepararon un breve resumen con explicaciones de estas reglas. El estándar NIST ya tiene muchos sitios. Por ejemplo, el recurso login.gov, que proporciona servicios de autenticación para portales del gobierno de EE. UU.
Existen otros marcos (por ejemplo,
HITRUST ), pero aún tienen prácticas obsoletas como la rotación regular de contraseñas. Pero ellos, como NIST, se están mejorando gradualmente.
Lectura adicional en el blog de 1cloud:
¿Qué hay de nuevo en Linux kernel 5.3? “Cómo construimos IaaS”: materiales de 1cloud Detección de dispositivos electrónicos en la frontera: ¿necesidad o violación de los derechos humanos? ¿Por qué los desarrolladores de navegador convencionales se negaron nuevamente a mostrar el subdominio?