Todos hemos pasado por lo mismo: Nos registramos en algún servicio online y creamos una contraseña, y luego el sistema nos dice que la contraseña no es válida. Existe una serie de reglas, entre las cuales tenemos «no más de ocho caracteres», «debe contener al menos una letra mayúscula y un valor alfanumérico», etc. Algunos sitios web tienen listas más largas de requerimientos, lo cual puede ser muy frustrante a la hora de crear una contraseña.
Si usted piensa que estas reglas para crear contraseñas son absurdas, entonces le tengo buenas noticias: Usted no es el único. El hombre que las inventó, William E Burr, opina lo mismo.
Burr, trabajó como manager del National Institute of Standards and Technology (NIST), y fue quien recibió por primera vez la tarea de diseñar el reglamento de cómo deben crearse las contraseñas para todos los servicios en internet. Si bien Burr es el autor de dicho normativo de contraseñas, no deja a su vez de estar muy consciente hoy en día de que estas reglas son una contrariedad que al final del día, no hacen su contraseña más segura.
Tuve la oportunidad de hablar con él brevemente y empecé por preguntarle qué impresiones recibió del personal en el 2003 cuando publicó el primer borrador de su reglamento:
«Recibí algunos comentarios, en su mayoría técnicos. Un colega pensaba que yo estaba enfocándome en entropía promedia, cuando debería estar pensando en la entropía mínima. Otros pensaron que era difícil justificar los estimados de entropía que yo proponía, lo cual fue una crítica persistente de la publicación especial del NIST número 800-63, Apéndice A»
La publicación a la que Burr se refiere es un extenso documento que contiene todas las instrucciones acerca de cómo se deben diseñar las contraseñas. Burr continúa:
«Pero el Apéndice A, y las contraseñas en general, conformaban quizás un 2% del documento, el cual cubría muchos temas, como prueba de identidad y registración, requerimientos de protocolos de seguridad, una estructura general para autenticación Multi-Factorial, y otros»
La Autenticación Multi-Factorial se refiere a un sistema de seguridad que solo le da acceso al usuario luego de haber entrado más de una credencial (ejemplo: pedir su contraseña y su dirección de domicilio)
El problema es que cuando Burr recibió la tarea de dictar el reglamento de creación de contraseñas, aún se sabía muy poco acerca de cuales son los criterios más importantes a la hora de crear una contraseña segura. Por ejemplo, se daba por entendido que mientras más caracteres «extraños» una contraseña tuviera, más segura era. Reemplazar letras en una palabra como «Auto», resultando en la contraseña «Au1t0» es un método que en realidad presenta poca dificultad para un programa de computadora o un hacker a la hora de decodificarla. En cambio, se ha demostrado que las contraseñas largas que emplean palabras comunes pero aleatorias, son mucho más fáciles de recordar y más difíciles para una computadora o hacker de decodificar: «banana_extraña_llegando_via_telefónica»
Pero no todo son malas noticias: El NIST recientemente publicó un anuncio diciendo que se va a deshacer de muchas de estas tediosas reglas. El documento es largo y complicado, pero básicamente presenta un sistema de creación de contraseñas más amigable para el usuario. Las nuevas reglas favorecerán al usuario, y le permitirán tener más libertad a la hora de diseñar su contraseña.
A pesar de que Burr ya se había retirado cuando se publicó este nuevo reglamento, él sí participó asistiendo al personal: «Participé como un consultor, y creo que el nuevo apéndice de contraseñas (Publicación Especial de NIST 800-63B Apéndice A) es una mejora considerable sobre la que yo escribí»
La seguridad online es un tema complicado y no cabe duda de que estos sistemas no pararán de evolucionar y de sufrir actualizaciones. Pero más allá de las fallas que puedan haber, resulta esperanzador saber que la gente a cargo de la seguridad online son personas que siguen el principio científico, en el cual están dispuestos a descartar cualquier método, si la evidencia demuestra que hay un método mejor. «Hubiera deseado tener estos resultados en el 2003» concluye Burr. «Sin embargo, soy un ingeniero lo suficientemente bueno como para cambiar mi mente ante mejores argumentos y data. La data es la que manda»