123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa.

Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en violaciones de datos que se hicieron públicas.

Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas.

Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio:

  • Haber sido identificada en alguna violación de datos.
  • Utilizar palabras de diccionario (dictionary words).
  • Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456).
  • Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes.

Las políticas de contraseñas suelen usarse con el objetivo de incrementar la dificultad de “adivinar” una contraseña, sin embargo se ha demostrado que los usuarios responden a estas imposiciones de una manera muy predecible. Por ejemplo, si el usuario es obligado a agregar un número a su contraseña es muy probable que en lugar de “password” elija “password1“, o “[email protected]” si debe incluir un número y un caracter especial.

GitHub, la plataforma de alojamiento de código fuente y desarrollo colaborativo, introdujo hace algunos meses una nueva funcionalidad que les permite verificación si la contraseña que el usuario está utilizando en su sitio ya fue identificada en alguna violación de datos . Todos los detalles están en este post.

Adicionalmente, ofrecer a los usuarios la posibilidad de configurar un segundo factor de autenticación ha dado buenos resultados a la hora de garantizar que estén protegidos sin obligarlos a utilizar absurdas políticas de contraseñas.

Para los usuarios que estén leyendo esto: Sabemos que es muy dificil recordar tantas contraseñas. En promedio, cada uno de nosotros tiene que recordar un promedio de 40 contraseñas durante toda nuestra vida. Por eso queremos que usen un administrador de contraseñas y dejen ese espacio en sus cerebros disponible para almacenar información más importante.

Este post les puede resultar interesante para entender qué son y cómo funcionan los administradores de contraseñas.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.