Esta guía proporciona información, recomendaciones y ejemplos de contraseñas modernas para los diseñadores e ingenieros que crean aplicaciones online seguras. En la guía relacionada Seguridad moderna de contraseñas para los usuarios, se ofrecen consejos para los usuarios finales. En esta guía se explican las numerosas opciones que debes tener en cuenta al crear un sistema de autenticación basado en contraseñas. También establece un conjunto de recomendaciones centradas en el usuario para las políticas y el almacenamiento de contraseñas, incluido el equilibrio entre la seguridad y la usabilidad de las contraseñas.
El mundo de la tecnología lleva intentando mejorar las contraseñas desde los primeros días de la informática. La autenticación basada en conocimientos compartidos es problemática porque la información puede caer en las manos equivocadas o olvidarse. El problema se agrava por los sistemas que no admiten casos prácticos seguros y por la frecuente decisión de los usuarios de tomar atajos.
Según un estudio de Yubico y Ponemon del 2019, el 69 % de los participantes admitieron compartir contraseñas con sus compañeros para acceder a cuentas. Más de la mitad de los participantes (el 51 %) reutilizan una media de cinco contraseñas en sus cuentas personales y de empresa. Además, la autenticación de dos factores (2FA) no se usa de forma generalizada, aunque añade una capa de protección adicional a la del nombre de usuario y la contraseña. De los encuestados, el 67 % no utiliza ninguna forma de autenticación de dos factores en su vida personal y el 55 % no la usa en el trabajo.
Los sistemas de contraseñas diseñados para aplicaciones modernas también pueden permitir o incluso animar a los usuarios a usar contraseñas poco seguras. Los sistemas que solo permiten credenciales de un factor y que implementan políticas de seguridad ineficaces agravan el problema. Las reglas arbitrarias e incoherentes permiten a los usuarios gestionar sus contraseñas de forma poco segura, y los sistemas de recuperación de contraseñas pueden dejar al usuario y a la aplicación vulnerables a categorías de amenazas que quizás no hayan tenido en cuenta.
Información general
En este documento se describe lo siguiente:
- Fuentes fiables de información meditada e investigada sobre la seguridad de las contraseñas
- Recomendaciones para ingenieros que diseñan sistemas de gestión de contraseñas
- Antipatrones y leyendas urbanas habituales sobre la seguridad de las contraseñas
- Temas para investigar más a fondo
Para leer el informe completo, haz clic en el botón: