candado_1

A los mortales no les gusta tener que recordar complejas contraseñas. Todo aquel que puede, huye como de la peste de esas largas cadenas de letras y números, o acaba apuntándolas en una pegatina dentro del cajón. Los responsables de seguridad de empresas y otras organizaciones a menudo se desesperan tratando de vencer la resistencia de los usuarios, y estableciendo reglas de creación de contraseñas enrevesadas y poco atractivas.

Un equipo de investigadores formado por dos empleados de Microsoft y un miembro de la Universidad de Harvard proponen un método sencillo que puede calar fácilmente en los usuarios más recalcitrantes de sistemas corporativos. Consiste en dejar elegir al usuario la contraseña que quiera, siempre que ya no sea muy popular entre el resto de los usuarios.

candado_3

Este equipo sugiere sustituir las reglas complicadas de creación de contraseñas que se utilizan actualmente por una más simple: permitir cualquier contraseña que el usuario quiera, siempre que no resulte un objetivo fácil para los ataques de adivinación estadí­stica. Estos ataques se basan en un diccionario que elabora el atacante y que contiene las consignas que considera más probables o que ha observado que son más comunes. El sistema que han diseñado lleva cuenta de las contraseñas indeseables por se demasiado populares entre los usuarios del sistema, y se actualiza con cada nueva incorporación.

La ponencia de estos investigadores va a ser presentada y publicada durante la próxima conferencia de seguridad que organiza la Asociación de sistemas informáticos avanzados USENIX este mes de agosto en Washington. Se titula “Popularity is everything. A new approach to protecting passwords from statistical-guessing attacks” (La popularidad es fundamental. Una propuesta de contraseñas resistentes a los ataques de adivinación estadí­stica); sus autores son los investigadores de Microsoft, Stuart Schechter y Cormac Herley, y el investigador de la Universidad de Harvard, Michael Mitzenmacher.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.