NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.) prohíbe exigir composiciones específicas de caracteres en las contraseñas

 (mastodon.social)
26 puntos por GN⁺ 2024-09-26 | 14 comentarios | Compartir por WhatsApp
  • NIST planea "prohibir" tanto los "requisitos para crear contraseñas con distintos estilos de caracteres" como los "requisitos de cambio periódico de contraseña". Esto se considera una debilidad de ciberseguridad

Requisitos de contraseña

  • Los verificadores y los CSP deben exigir que las contraseñas tengan una longitud mínima de 8 caracteres, y se recomienda exigir al menos 15 caracteres SHALL
  • Los verificadores y los CSP deberían permitir una longitud máxima de contraseña de al menos 64 caracteres SHOULD
  • Los verificadores y los CSP deberían permitir todos los caracteres ASCII imprimibles y el carácter de espacio en las contraseñas SHOULD
  • Los verificadores y los CSP deberían permitir caracteres Unicode en las contraseñas. Al evaluar la longitud de la contraseña, cada punto de código Unicode debe contarse como un solo carácter SHOULD
  • Los verificadores y los CSP no deben imponer otras reglas de composición para las contraseñas (por ejemplo, exigir una mezcla de distintos tipos de caracteres) SHALL NOT
  • Los verificadores y los CSP no deben exigir a los usuarios que cambien periódicamente su contraseña SHALL NOT. Sin embargo, si hay evidencia de compromiso del autenticador, el verificador debe forzar el cambio SHALL
  • Los verificadores y los CSP no deben permitir que el suscriptor almacene pistas accesibles para reclamantes no autenticados SHALL NOT
  • Los verificadores y los CSP no deben solicitar al suscriptor que use autenticación basada en conocimiento (KBA) o preguntas de seguridad al elegir una contraseña SHALL NOT
  • El verificador debe validar la contraseña enviada en su totalidad (es decir, no debe truncarla) SHALL

Otras menciones

  • Problema de las reglas anteriores: antes existía el problema de que los caracteres Unicode no se almacenaban correctamente en ciertas plataformas. Sin embargo, hoy Unicode ofrece más entropía
  • Nuevo requisito: las nuevas directrices de NIST incluirán el requisito de permitir Unicode arbitrario. Esto es esencial para el software que afirma ser compatible con la internacionalización (i18n)
  • Reglas de composición de contraseñas: NIST cambia las reglas de composición de contraseñas de "no recomendado" a "no permitido". Este es un paso importante para fortalecer la seguridad
  • Conflicto con estándares de la industria: algunos estándares de la industria (por ejemplo, PCI, ISO 27001:2022) todavía tienen requisitos que entran en conflicto con NIST. Esto dificulta que las empresas sigan las nuevas reglas de NIST
  • Uso de administradores de contraseñas: los administradores de contraseñas son útiles no solo en sitios web, sino también en diversos sistemas. También existen formas de ingresar la contraseña maestra mediante tokens de hardware o autenticación biométrica
  • Límite de longitud de contraseña: el límite de longitud de la contraseña sirve para evitar el agotamiento de recursos del sistema de autenticación. Sin embargo, un límite demasiado corto puede imponer restricciones graves a la seguridad

Resumen de GN⁺

  • Las nuevas reglas de contraseñas de NIST fortalecen la seguridad al eliminar requisitos de seguridad existentes que eran innecesarios y perjudiciales.
  • Permitir contraseñas con Unicode será de gran ayuda para los usuarios internacionales.
  • Debido al conflicto con algunos estándares de la industria, puede resultar difícil para las empresas seguir las nuevas reglas.
  • Los administradores de contraseñas son útiles en diversos sistemas, y la seguridad puede reforzarse mediante tokens de hardware.
  • El límite de longitud de la contraseña sirve para evitar el agotamiento de recursos, pero un límite demasiado corto puede causar problemas de seguridad.

Lecturas relacionadas

14 comentarios

 
2024-09-26
[Este comentario fue ocultado.]
 
hided62 2024-09-26

Los lugares que tienen una longitud máxima corta sí me parecieron algo problemáticos.
La verdad es que las contraseñas,

como buenarrozysopa0212341234almuerzoespecial1porcióncontarjeta,

aunque sean una combinación de “palabras ya existentes”, si se encadenan varias, la dificultad aumenta muchísimo.
 
semjei 2024-09-27

En nuestra empresa también cambiaron la política a principios de este año, y ahora pasó a ser una lista de al menos cuatro palabras en inglés cualquiera.
Así que cada mañana empiezo el día escribiendo una frase célebre.
 
savvykang 2024-09-26

Incluso Coupang, que dicen que al menos tiene una mejor cultura de desarrollo, silenciosamente limita la longitud de la contraseña a 16 caracteres sin ningún tipo de retroalimentación visual. Tampoco hubo correo de cambio de contraseña y, como de repente no podía iniciar sesión sin ninguna razón, pensé que me habían hackeado.
 
galadbran 2024-09-28

Parece que también hay muchas áreas dentro del desarrollo. La seguridad y la accesibilidad parecen ser campos representativos que no suelen abordarse. Aunque sea un poco del esfuerzo que se dedica a los patrones oscuros...
 
savvykang 2024-09-28

Ahora que lo revisé, veo que el límite máximo se ajustó a 20 caracteres. Pero en la página web de registro todavía limitan la longitud de la contraseña sin ningún tipo de aviso ni retroalimentación visual sobre la contraseña, y en la página web de inicio de sesión no hay ninguna restricción. En cambio, en la página de cambio de contraseña de la app de Android sí especifican correctamente las reglas de la contraseña. Parece que el equipo de Android y el equipo de frontend web no están coordinados.

Creo que es un caso típico de trabajo en silos.
 
unsure4000 2024-09-26

Parece que no se cumple bien ni una sola de estas cosas...
 
bakyeono0 2024-09-26

Si hay personas de UI viendo esto, por favor eliminen también la interfaz que obliga a ingresar la contraseña usando el teclado virtual que aparece en pantalla al momento de escribirla.
Al principio habrá surgido para evitar que la contraseña quedara expuesta por un keylogger, pero hoy en día el riesgo de que quede expuesta porque la graben las cámaras que hay por todos lados es mucho mayor.
Es una UI que me desconcierta cada vez que la veo, y me parece raro que todavía se siga manteniendo.
Sospecho que ya se olvidaron de que se creó por los keyloggers, y que simplemente la siguen implementando porque todo el mundo lo hace.
 
lux1024 2024-09-28

Es porque son lineamientos de seguridad gubernamentales. Probablemente no haya ninguna empresa que quiera meter un teclado virtual.

En varias certificaciones y validaciones de estándares también hay muchos casos donde el teclado virtual es un requisito obligatorio. Tiene más requisitos detallados de lo que uno pensaría, y si no usas el producto existente (SDK) de una empresa que ya lo implementó, la evaluación puede tardar más o incluso pueden rechazarte. La verdad, da para pensar que esto casi parece un cártel de empresas de seguridad.
 
2024-09-27
[Este comentario fue ocultado.]
 
bakyeono 2024-09-27

No solo las instituciones públicas, sino también empresas tecnológicas como Naver y Coupang lo hacen, así que es aún más frustrante.
 
carnoxen 2024-09-27

¿No será que allí solo lo siguen a regañadientes porque el gobierno les ordena hacerlo?
 
savvykang 2024-09-26

Los sitios que limitan la longitud máxima de la contraseña a unas 12 caracteres o que no permiten símbolos especiales me generan desconfianza. Me parece una de las señales de que no le prestan atención a la seguridad.
 
GN⁺ 2024-09-26
Comentarios de Hacker News

  • NIST ha estado proporcionando desde 2017 directrices para flexibilizar las reglas de composición de contraseñas

    • "Los verificadores no deberían imponer otras reglas de composición sobre las contraseñas memorizadas"
    • "Los verificadores no deberían exigir cambios arbitrarios de contraseña"
    • "Deberían forzar el cambio si hay evidencia de que el autenticador fue comprometido"

  • NIST no establece políticas, pero muchas otras políticas hacen referencia a NIST 800-63

  • Al registrarse en un sitio web, era muy molesto encontrarse con reglas como "una buena contraseña debe usar a, b, c"

    • Parece que muchos desarrolladores de sitios no saben bien qué hace que una contraseña sea buena

  • NIST también prohíbe las "preguntas de seguridad" (por ejemplo: "¿Cuál es el apellido de soltera de su madre?")

  • NIST dio durante décadas malas recomendaciones sobre contraseñas y apenas ahora cambió a una solución más razonable

    • Se construyó mucho software basándose en esas directrices equivocadas, y cambiarlas tomará mucho tiempo

  • Parece que, debido al problema de bcrypt, surgió el requisito de "verificar toda la contraseña enviada"

  • NIST propone una longitud máxima de contraseña de 64 caracteres (muchos sitios la limitaban a 20, lo que hacía imposible usar frases de contraseña)

  • La historia de un usuario:

    • El banco de su esposa usaba hasta el mes pasado un ID numérico como inicio de sesión
    • Desde este mes obligó a elegir un nombre de usuario, que debía incluir mayúsculas y números
    • Este banco es el octavo más grande de Europa

  • Hay debate sobre si exigir caracteres específicos aumenta o reduce la entropía

    • Exigir caracteres específicos reduce la entropía porque limita el rango de caracteres que se pueden elegir
    • Como la mayoría de los usuarios elige contraseñas débiles, exigir ciertos caracteres podría aumentar la entropía
    • Sin embargo, como la mayoría coloca esos caracteres en posiciones fáciles de adivinar, la entropía probablemente igual disminuiría

  • Esperando que NIST reemplace las contraseñas en texto plano con PAKE, y que el W3C prepare un mecanismo para ello

  • Enlace original: NIST SP 800-63b