123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa.

Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en filtraciones de datos.

Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas.

Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio:

  • Haber sido identificada en alguna filtración de datos.
  • Utilizar palabras de diccionario (dictionary words).
  • Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456).
  • Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes.

Las políticas de contraseñas suelen usarse con el objetivo de incrementar la dificultad de “adivinar” una contraseña, sin embargo se ha demostrado que los usuarios responden a estas imposiciones de una manera muy predecible. Por ejemplo, si el usuario es obligado a agregar un número a su contraseña es muy probable que en lugar de “password” elija “password1“, o “password@1” si debe incluir un número y un caracter especial.

GitHub, la plataforma de alojamiento de código fuente y desarrollo colaborativo, introdujo hace algunos meses una nueva funcionalidad que les permite verificación si la contraseña que el usuario está utilizando en su sitio ya fue identificada en alguna filtración de datos . Todos los detalles están en este post.

Adicionalmente, ofrecer a los usuarios la posibilidad de configurar un segundo factor de autenticación ha dado buenos resultados a la hora de garantizar que estén protegidos sin obligarlos a utilizar absurdas políticas de contraseñas.

Para los usuarios que estén leyendo esto: Sabemos que es muy dificil recordar tantas contraseñas. En promedio, cada uno de nosotros tiene que recordar un promedio de 40 contraseñas durante toda nuestra vida. Por eso queremos que usen un administrador de contraseñas y dejen ese espacio en sus cerebros disponible para almacenar información más importante.

Este post les puede resultar interesante para entender qué son y cómo funcionan los administradores de contraseñas.

Publicado por Pablo Alejandro Fain

Senior Cloud Engineer at Toyota Argentina. IT professional focused on Azure, Microsoft 365, Identity, and Cybersecurity. You can find me on Twitter as @FainPablo.

Un comentario en “123456 sigue siendo la contraseña más utilizada

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s