Las políticas de contraseñas, errores de hace muchos años
No será la primera vez que hablamos de contraseñas y de las políticas que se definen para ‘mejorarlas’. Ya sabemos que muchas de estas políticas son contraproducentes por varios motivos:
- Reducen el tamaño de búsqueda de las claves (a pesar de aumentar la diversidad).
- Hacen que los usuarios elijan contraseñas peores.
Pero, aún así, parece que hay que repetirlo de vez en cuando. Por eso me gustó leer How some of the world’s most brilliant computer scientists got password policies so wrong.
Nos dice que las reglas nacieron hace un montón de años, con buena intención y dictadas por gente muy inteligente:
The story of why password rules were recommended and enforced without scientific evidence since their invention in 1979 is a story of brilliant people, at the very top of their field, whose well-intentioned recommendations led to decades of ignorance. These mistakes are worth studying, in part, because the people making them were so damn brilliant and the consequences were so long lasting.
Ya en el año 1979 hacían análisis de las contraseñas y descubrían que no eran de muy buena calidad.
They discovered that 2,339 (71%) were either six or fewer characters of the same type (lower-case, upper-case, or digits) or 3 characters of mixed types. They found an additional 492 of the remainder (15% of all the passwords) were available in “dictionaries, name lists, and the like.”
Y, claro, diseñaron una política de contraseñas para mejorarlas.
They incorrectly assumed that if they prevented the specific categories of weakness that they had noted, that the result would be something strong.
La lectura es muy agradable y vale la pena ver la historia (y cómo algunas organizaciones permanecen ancladas en esas ideas obsoletas) y quedarse con la conclusión. Más aún cuando no ha sido hasta fechas relativamente recientes que se ha abordado el problema con más seriedad y los descubrimientos son claros, y los consejos también.
As a result of Morris and Thompson’s recommendations, and those who believed their assumptions without evidence, it was not until well into the 21st century that the scientific community learned just how ineffective password policies were. This period of ignorance finally came to an end, in part, because hackers started stealing password databases from large websites and publishing them.