NUEVAS PAUTAS DEL NIST SOBRE LAS PASSWORDS

El Instituto Nacional de Estándares y Tecnología NIST se prepara para emitir una nueva Pauta Digital, que a diferencia de sus ediciones anteriores, tendrá una postura más suave de la complejidad de las contraseñas

El actual borrador de la Guía de Identidad Digital NIST revela algunos de los cambios que vienen el próximo año. Estas recomendaciones son importantes, ya que son ampliamente aceptados y seguidos por la mayoría de las agencias gubernamentales y las empresas de todo los EE.UU., e incluso en todo el mundo.

Hay algunos cambios importantes en el proyecto actual, en comparación con las directrices del NIST anteriores.

Estas son las recomendaciones de política contraseña actual NIST incluidos en el último borrador.

• Las contraseñas deben tener al menos 8 caracteres de longitud
• Las organizaciones deben permitir que las contraseñas sean hasta 64 caracteres o más de longitud
• Todos los ASCII o caracteres Unicode (RFC 20) deben ser permitidos en las contraseñas (incluyendo el espacio)
• Las organizaciones pueden eliminar uno o múltiples caracteres espacio antes de la verificación de la condición de que el resultado es al menos 8 caracteres de longitud
• Organizaciones no deben truncar contraseñas
• Organizaciones que generan las contraseñas de usuario inicial debe utilizar un generador de bits aleatorios aprobado. Estas contraseñas deben tener al menos seis caracteres de longitud
• Los avisos de contraseña nunca deben ser accesibles a los usuarios no autenticados
• Las organizaciones no deberían instar o pedir a los usuarios utilizar ciertos tipos de información para las contraseñas ('¿Cuál es el nombre de su primera mascota?')
• Cuando se establece o cambia una contraseña existente, las organizaciones pueden comparar la nueva contraseña del usuario contra las contraseñas obtenidas a partir de corpus anteriores de violación , las palabras del diccionario, personajes repetitivas o secuenciales, o palabras específicas de contexto (nombres de usuario, nombres, derivados)
• Las organizaciones deberán implementar un sistema que limita el número de intentos de acceso fallidos
• Las organizaciones no deben utilizar las reglas de composición (mezclas de diferentes tipos de caracteres)
• Las organizaciones no deberían requerir a los usuarios cambiar las contraseñas a intervalos regulares
• Las organizaciones deben cambiar las contraseñas sólo si hay evidencia de compromiso, o el usuario lo inicie
• Las organizaciones pueden mostrar la más reciente carácter de contraseña por un corto período de tiempo, para ayudar a los usuarios al entrar contraseñas
• Organizaciones pondrán el 'cifrado aprobado' para proteger las contraseñas
• Organizaciones utilizará un canal autenticado (HTTPS) al solicitar contraseñas secretos
• Organizaciones deberá almacenar memorizados en una forma que es resistente a los ataques sin conexión
• El valor SHALL deberá ser un valor de 32 bits o más aleatorio generado por un generador de bits aleatorios aprobado y se almacena junto con el resultado de control
• Al menos 10.000 iteraciones de la función hash se deben realizar
• Una función hash por clave (por ejemplo, HMAC [ FIPS198-1 ]), con la clave almacenada por separado de los autenticadores hash (por ejemplo, en un módulo de seguridad de hardware) se debe utilizar a una mayor resistir los ataques de diccionario contra los autenticadores hash almacenados

Los cambios en la reciente directriz del NIST muestran una relajación de las políticas de contraseñas recomendados. Esta relajación se produce después de que varios estudios han demostrado que los usuarios tienden a utilizar contraseñas más sencillas las reglas de contraseñas más complejas se vuelven.

El nuevo marco NIST también aconseja a las empresas a trasladarse a esquemas de autenticación de factores múltiples para una experiencia más segura. Estos son sistemas de autenticación de usuario que emplean múltiples entradas del usuario, como contraseñas, datos biométricos, fichas fuera de línea, o mensajes SMS.