UNC-.Chapel Hill está cambiando a un sistema de cambio de contraseñas Onyen a una vez al año en lugar de cada 91 días. Por la comodidad de cambiar su contraseña sólo una vez al año, los miembros de la comunidad del campus tendrán que crear contraseñas que sean más difíciles de descifrar para los delincuentes.
En un post invitado, Alex Everett, Arquitecto de Seguridad de TI con la Oficina de Seguridad de la Información dentro de ITS, discute el cambio desde una perspectiva de seguridad de TI. Explica lo que hace que este nuevo sistema sea más seguro a la vez que más fácil de usar.
A partir del 13 de mayo, ITS Identity Management lanzará una importante actualización del servicio Onyen. La actualización permitirá a los constituyentes utilizar la misma contraseña durante un máximo de un año, a la vez que se eliminarán todos los requisitos de caracteres que existen en la actualidad.
Creemos que esto no solo mejorará la experiencia de los usuarios, sino que también hará que el conjunto de contraseñas sea ligeramente más fuerte, ya que el servicio está ahora más alineado con las recomendaciones tanto del Instituto Nacional de Estándares y Tecnología como de nuestro propio Departamento de Informática. Sin embargo, 2-Step o dos factores deben seguir siendo un componente clave de la autenticación en la Universidad, ya que protege contra nuestra mayor amenaza para las contraseñas: el phishing.
Desde hace tiempo, pedimos a nuestros usuarios que memoricen contraseñas que contengan números, caracteres especiales y letras, en lugar de permitir combinaciones de palabras, frases u oraciones que son igual de sólidas y mucho más memorables. Un extracto de un popular cómic trata de captar esto.
Tecnologías de autenticación más seguras
También hemos hecho recaer más la responsabilidad de la fortaleza de las contraseñas en el constituyente en lugar de limitar los ataques de adivinación de contraseñas y asegurar las bases de datos de contraseñas. Sin embargo, en los últimos años nuestros colegas de Operaciones de Infraestructura de ITS & han hecho progresos en estos frentes, incluyendo la finalización de una evaluación de riesgos y la adopción de tecnologías de autenticación más seguras. Como tal, nuestros principales riesgos para las contraseñas de Onyen provienen de los ataques de phishing y, en menor medida, de los ataques de adivinación en línea, especialmente los que utilizan credenciales comprometidas encontradas en violaciones de contraseñas externas. Es importante abstenerse de utilizar su contraseña Onyen para cuentas no universitarias, como las redes sociales y la banca. Los gestores de contraseñas como LastPass presentan una forma sencilla de gestionar multitud de credenciales de forma segura.
Un adelanto de lo que se puede esperar
Este es un ejemplo de lo que verán los electores cuando cambien su contraseña a partir de mayo. Te animamos a que pongas una contraseña «muy fuerte».
A medida que se escribe la contraseña, el servicio evalúa el número de conjeturas que debe hacer un atacante. Este servicio se basa en un algoritmo diseñado por Daniel Wheeler, de Dropbox, que intenta imitar la forma de actuar de los atacantes.
En lugar de estimar la complejidad basándose únicamente en la longitud y el conjunto de caracteres, estima la complejidad en función de un sinfín de factores, como la disposición del teclado, la repetición, la frecuencia de las palabras en los idiomas, las sustituciones de caracteres y la fuerza bruta. Así, reconoce que «C@rol1n@» es una simple sustitución de una palabra común y la puntúa como mucho más adivinable que «redandcold», una simple combinación de tres palabras que el servicio permite. Esto parece un poco contraintuitivo, pero incluso estas contraseñas cortas son tan fuertes como muchas de las contraseñas que nuestros electores utilizan hoy en día.
El servicio también comprobará la contraseña enviada con una lista de contraseñas expuestas conocidas de violaciones de contraseñas públicas. Además, requerirá que la nueva contraseña difiera significativamente de la composición de la contraseña anterior.
Las necesidades varían según la aplicación
Por último, quiero señalar que una contraseña «fuerte» o «muy fuerte» permitida por el servicio Onyen puede no ser lo suficientemente fuerte para usarla en otros contextos. Por ejemplo, si se encripta un archivo y se coloca en un sistema de almacenamiento al que cualquier persona de la Universidad puede acceder, ese archivo puede ser copiado y descifrado fuera de línea sin ningún límite. Esto también es similar a una contraseña local en un servidor informático que permite miles de inicios de sesión (SSH, RDP o web) a la hora sin ningún tipo de límite de velocidad o supervisión. Para estos usos y también para las cuentas de servicio, recomendamos una contraseña larga de 17 caracteres o más según la recientemente revisada Norma de Contraseñas, Frases de Paso y Otros Métodos de Autenticación.