Reglas de contraseñas NIST 800-63B: directrices modernas

NIST 800-63B representa un cambio significativo en la forma en que se concibe la seguridad de las contraseñas. Las prácticas tradicionales, como la expiración frecuente obligatoria y las reglas estrictas de complejidad, han demostrado ser poco efectivas y, en muchos casos, contraproducentes. Los usuarios terminaban creando patrones previsibles de contraseñas o recurriendo a métodos inseguros para recordarlas, lo que incrementaba el riesgo de comprometer la seguridad. Con las nuevas directrices, se prioriza la usabilidad y la resistencia real de las contraseñas medida por la entropía, en lugar de reglas arbitrarias sobre caracteres y símbolos.

Uno de los cambios más importantes es la recomendación de usar frases como contraseñas. En lugar de forzar combinaciones complejas de letras, números y símbolos en contraseñas cortas, se sugiere utilizar frases largas y memorables. Por ejemplo, una frase como «CieloAzulHierbaVerde2026» ofrece alta entropía gracias a su longitud y estructura impredecible, haciendo que los ataques de fuerza bruta o ataques de diccionario sean mucho menos efectivos que con contraseñas cortas y complejas como «P@ssw0rd!23».

Las políticas centradas en el usuario también son un aspecto clave. Los usuarios deben poder elegir contraseñas o frases que puedan recordar sin comprometer la seguridad, evitando prácticas inseguras como anotarlas en papel o reutilizar la misma contraseña en múltiples cuentas. La libertad de elección, combinada con recomendaciones sobre frases fuertes, mejora significativamente la seguridad mediante hábitos de usuario más sostenibles.

Además, NIST 800-63B enfatiza el uso de la autenticación multifactor (MFA) en sistemas de alto riesgo. El uso de factores adicionales reduce la dependencia exclusiva de las contraseñas, asegurando que incluso si una contraseña se ve comprometida, el acceso no autorizado sea mucho más difícil. La combinación de "algo que el usuario sabe", "algo que posee" o "algo que es" fortalece el sistema de autenticación.

Otras recomendaciones incluyen eliminar prácticas obsoletas, como reglas estrictas sobre la composición de contraseñas, expiraciones forzadas y pistas de recuperación que pueden ser explotadas. La verificación contra listas de contraseñas comúnmente usadas o filtradas y la prevención de reutilización inmediata de contraseñas previas son métodos efectivos para aumentar la seguridad sin sacrificar la experiencia del usuario.

En resumen, NIST 800-63B actualiza la política de contraseñas priorizando la memorización, la entropía y el uso de MFA sobre reglas arbitrarias de complejidad. Las organizaciones que aplican estas recomendaciones obtienen un equilibrio entre alta seguridad y facilidad de uso, reduciendo el riesgo de compromisos de datos y ofreciendo una experiencia de usuario más sólida.