El consejo no cambió durante décadas: utilice contraseñas complejas con mayúsculas, minúsculas, números y símbolos. La idea es hacer que las contraseñas sean más difíciles de descifrar para los piratas informáticos mediante métodos de fuerza bruta. Pero una callejero más fresco muestra que debemos centrarnos en la distancia de la contraseña, en lado de en la complejidad. La distancia es el multiplicador de seguridad más importante y las frases de contraseña son la forma más sencilla de alcanzar que los usuarios creen (¡y recuerden!) contraseñas más largas.
Las matemáticas que importan
Cuando los atacantes roban hashes de contraseñas de una infracción, utilizan la fuerza bruta al realizar millones de conjeturas por segundo hasta que poco coincide. El tiempo que esto lleva depende de una cosa: cuántas combinaciones posibles existen.
Una contraseña «compleja» tradicional de 8 caracteres (P@ssw0rd!) ofrece aproximadamente 218 billones de combinaciones. Suena impresionante hasta que te das cuenta de que las configuraciones modernas de GPU pueden probar esas combinaciones en meses, no abriles. Aumente eso a 16 caracteres usando solo cultura minúsculas y obtendrá 26 ^ 16 combinaciones, miles de millones de veces más difíciles de descifrar.
Esta es la entropía efectiva: la aleatoriedad positivo que un atacante debe atravesar. Tres o cuatro palabras comunes aleatorias unidas («alfombra-estática-pretzel-invocar») generan mucha más entropía que agrupar símbolos en cadenas cortas. Y los usuarios pueden verdaderamente recordarlos.
Por qué las frases de contraseña ganan en todos los frentes
El argumento a gracia de las frases de contraseña no es teórico, es eficaz:
Menos reinicios. Cuando las contraseñas son fáciles de memorar, los usuarios dejan de escribirlas en notas Post-it o de reciclar variaciones similares entre cuentas. Los tickets del servicio de cooperación técnica caen, lo que por sí solo debería argumentar el cambio.
Mejor resistor al ataque. Los atacantes optimizan los patrones. Prueban palabras del diccionario con sustituciones comunes (@ por a, 0 por o) porque eso es lo que hace la parentela. Una frase de contraseña de cuatro palabras evita estos patrones por completo, pero sólo cuando las palabras son verdaderamente aleatorias y no están relacionadas.
Adscrito con la callejero contemporáneo. El NIST ha sido claro: priorizar la duración sobre la complejidad forzada. El minúsculo tradicional de 8 caracteres debería ser cosa del pasado.
Una regla que vale la pena seguir
Deje de cuidar 47 requisitos de contraseña. Ofrezca a los usuarios una instrucción clara:
Elija 3-4 palabras comunes no relacionadas + un separador. Evite cultura de canciones, nombres propios o frases célebres. Nunca reutilice entre cuentas.
Ejemplos: horno-portátil-glaciar-mango o cricket.highway.mostaza.piano
Eso es todo. Sin mayúsculas obligatorias, sin símbolos obligatorios, sin teatro de complejidad. Sólo distancia y aleatoriedad.
Implementándolo sin caos
Los cambios en la autenticación pueden gestar resistor. A continuación se explica cómo minimizar la fricción:
Comience con un peña piloto, consiga entre 50 y 100 usuarios de diferentes departamentos. Bríndeles la nueva orientación y supervise (pero no haga cumplir) durante dos semanas. Esté atento a los patrones: ¿la parentela está recurriendo a frases de la civilización pop? ¿Están cumpliendo consistentemente los requisitos de distancia mínima?
Luego pase al modo de solo advertencia en toda la estructura. Los usuarios ven alertas cuando su nueva contraseña es débil o ha sido comprometida, pero no están bloqueados. Esto genera conciencia sin crear cuellos de botella en el apoyo.
Haga cumplir sólo a posteriori de ocurrir medido:
- Porcentaje de apadrinamiento de frase de contraseña
- Reducción del reinicio del servicio de cooperación técnica
- Accesos a contraseñas prohibidas de su índice de corte
- Puntos de fricción informados por el legatario
Realice un seguimiento de estos como KPI. Ellos le dirán si esto está funcionando mejor que la política inicial.
Alcanzar que se mantenga con las herramientas políticas adecuadas
Su política de contraseñas de Active Directory necesita tres actualizaciones para consentir frases de contraseña correctamente:
- Eleve la distancia mínima. Pasa de 8 a 14+ caracteres. Esto admite frases de contraseña sin crear problemas para los usuarios que todavía prefieren las contraseñas tradicionales.
- Elimine las comprobaciones de complejidad forzadas. Deja de requerir mayúsculas, números y símbolos. La distancia ofrece una maduro seguridad con menos fricción para el legatario.
- Bloquee las credenciales comprometidas. Esto no es negociable. Incluso la frase de contraseña más segura no ayuda si ya se filtró en una infracción. Su política debe comparar los envíos con listas comprometidas conocidas en tiempo positivo.
El restablecimiento de contraseña de supermercado (SSPR) puede ayudar durante la transición. Los usuarios pueden desempolvar sus credenciales de forma segura cuando quieran y su servicio de cooperación técnica no debería ser el cuello de botella.
La auditoría de contraseñas le brinda visibilidad de las tasas de apadrinamiento. Puede identificar cuentas que todavía usan contraseñas cortas o patrones comunes y luego dirigirse a esos usuarios con orientación adicional.
Herramientas como Specops Password Policy manejan las tres funciones: extender los mínimos de la política, circunvalar más de 4 mil millones de contraseñas comprometidas e integrarse con los flujos de trabajo de SSPR. Las actualizaciones de políticas se sincronizan con Active Directory y Azure AD sin infraestructura adicional, y la índice de corte se actualiza diariamente a medida que surgen nuevas infracciones.
Cómo se ve esto en la actos
Imagine que su póliza requiere 15 caracteres pero elimina todas las reglas de complejidad. Un legatario crea bosquejo-de-fuente-posavasos-paraguas durante su próximo cambio de contraseña. Una utensilio como Specops Password Policy la compara con la colchoneta de datos de contraseñas comprometida: está limpia. El legatario lo recuerda sin un administrador de contraseñas porque son cuatro imágenes concretas unidas entre sí. No lo reutilizan porque saben que es específico de esta cuenta.
Seis meses a posteriori, no hay solicitud de reinicio. Sin notas adhesivas ni llamadas al servicio de cooperación técnica porque manipularon un símbolo. Nadie revolucionario, simplemente simple y eficaz.
La seguridad que verdaderamente necesitas
Las frases de contraseña no son una posibilidad milagrosa. El MFA sigue siendo importante. La supervisión de credenciales comprometidas sigue siendo importante. Pero si está gastando fortuna en cambios en la política de contraseñas, aquí es donde gastarlos: mínimos más largos, reglas más simples y protección positivo contra credenciales violadas.
Los atacantes todavía roban hashes y los aplican fuerza bruta fuera de hilera. Lo que ha cambiado es nuestra comprensión de lo que verdaderamente los ralentiza, por lo que su próxima política de contraseñas debería reflectar eso. ¿Interesado en probarlo? Reserve una demostración en vivo de la política de contraseñas de Specops.
