En esta guía, se describen y modelan recomendaciones y orientación moderna sobre contraseñas para ingenieros y diseñadores que crean aplicaciones seguras en línea. En una guía relacionada, Seguridad moderna de contraseñas para los usuarios, se ofrece orientación a los usuarios finales. En esta guía, se trata el amplio rango de opciones que deben tenerse en cuenta cuando se compila un sistema de autenticación basado en contraseñas. También se establece un conjunto de recomendaciones centradas en el usuario para el almacenamiento y las políticas de contraseñas, incluido el equilibrio entre la seguridad y la usabilidad.
En el mundo de la tecnología, se ha intentado mejorar las contraseñas desde los inicios de la informática. La autenticación de conocimiento compartido es problemática porque la información puede caer en manos equivocadas o quedar en el olvido. El problema se ha agravado porque existen sistemas que no admiten casos prácticos seguros en el mundo real y porque, con frecuencia, los usuarios deciden toman atajos.
Según un estudio de Yubico/Ponemon de 2019, el 69% de los encuestados admitió que compartía contraseñas con sus colegas para acceder a las cuentas. Más de la mitad de los encuestados (el 51%) volvió a usar un promedio de cinco contraseñas en sus cuentas comerciales y personales. Además, la autenticación de dos factores (2FA) no se usa demasiado, a pesar de que agrega protección más allá del nombre de usuario y la contraseña. De los encuestados, el 67% no usa ninguna forma de 2FA en su vida personal, y el 55% no la usa en el trabajo.
Los sistemas de contraseñas diseñados para aplicaciones modernas también pueden permitir que los usuarios usen contraseñas no seguras, o incluso pueden incentivarlos a hacerlo. Los sistemas que solo admiten credenciales de un solo factor y que implementan políticas de seguridad ineficaces agravan el problema. Las reglas incoherentes y arbitrarias dan lugar a que los usuarios controlen sus contraseñas de forma insegura, y los sistemas de recuperación de contraseñas pueden dejar a los usuarios y a la aplicación expuestos a categorías de amenazas que tal vez no consideraron.
Descripción general
En este documento, se describe lo siguiente:
- Fuentes confiables de información detallada y comprobada sobre la seguridad de las contraseñas
- Recomendaciones para los ingenieros que diseñan sistemas de administración de contraseñas
- Antipatrones comunes y leyendas urbanas sobre la seguridad de las contraseñas
- Temas para investigación adicional
Para leer el informe completo, haz clic en el botón: