En el año 2003 Bill Bur, un funcionario del National Institute of Standards and Technology en Estados Unidos generó una Guía para el Manejo de Identidades Digitales bajo un documento denominado NIST Special Publication 800-63. Appendix A.
Esas guias fueron ampliamente adoptadas por la mayoría de los proveedores de servicios en linea e incluyen, entre otros, el requerimiento de tener que incluir mayúsculas y minúsculas, números y símbolos en los passwords que usamos a diario. Bur también es el responsable de que esos servicios nos pidan cambiar el password como máximo una vez por trimestre.
Esta semana, 14 años después de la publicación de sus recomendaciones originales se arrepiente de las mismas y asegura que seguirlas (en el ambiente actual) es más peligroso que nunca.
Ups…
En una entrevista con el Wall Street Journal, Bur asegura que jamás previó los aspectos negativos de sus recomendaciones y acepta que las mismas generaron tal nivel de incomodidad para los usuarios finales que estos cayeron en prácticas mediocres – como la de no actualizar su password sino cambiar sólo uno de los caracteres – y tal nivel de estandarización que hoy sea más fácil que nunca hackear las cuentas de los usuarios de servicios digitales.
Recuerda esas recomendaciones de seguridad para sus claves? Ahora resulta que no sirven para mucho
En reemplazo de claves como P4ssw0rd!, los expertos digitales hablan de utiliza frases comunes que involucren palabras y espacios, fáciles de recordar para el usuario pero difíciles de romper para los ciber-delincuentes. Así, es mejor usar una clave como “que lindas son las mañanas en la playa” que “S0rpr3$4!”.
Así que si usted es de aquellos que vive aburrido de tener decenas de claves llenas de arabescos que no puede recordar, esta es la oportunidad y la excusa para que las actualice por algo más natural y “recordable”. Eso sí, teniendo claro que reutilizar la misma clave a través de diferentes servicios es la actividad más peligrosa del mundo digital.