Menu
in

Bill Burr: El creador de las famosas «reglas para las contraseñas» se disculpa

Son inútiles, y confunden a los usuarios

«Mínimo de ocho caracteres, al menos uno en mayúscula, un número, un símbolo especial, y sin espacios». Este es un ejemplo de las clásicas restricciones que múltiples portales instalan a la hora de crear contraseñas, y su origen es el documento «NIST Special Publication 800-63 Appendix A.», escrito por Bill Burr en 2003. Catorce años después, la seguridad informática ha cambiado mucho, y Burr reconoce en cierto modo que sus reglas sólo lograron complicar la vida de los usuarios, por lo que decidió disculparse públicamente.

Nuestra recomendación de utilizar gestores de contraseñas se mantiene intacta. Sus generadores internos son capaces de crear combinaciones mucho más complejas de lo que podemos imaginar, y la mejor parte es que no necesitamos recordarlas. Sin embargo, el verdadero problema para los encargados de la seguridad es ese grupo de usuarios que además de no adoptar a un gestor, también utiliza contraseñas muy débiles. En el año 2003, el NIST estadounidense publicó un documento conocido como «NIST Special Publication 800-63. Appendix A.», que fue sometido a varias modificaciones, pero cuya versión original estuvo a cargo de un administrador en el instituto llamado Bill Burr.

Estos límites son contraproducentes: El usuario cumple con ellos haciendo un esfuerzo mínimo, y el resultado es una contraseña insegura

El texto de Burr define los requerimientos para la creación de una contraseña segura, que básicamente imponen el uso de letras mayúsculas, símbolos y números, junto a su reemplazo cada 90 días. Dichos requerimientos fueron asimilados por millones de servicios y portales en la Web, y a decir verdad, no han desaparecido. Sus intenciones eran buenas, pero catorce años después Burr llegó a la conclusión de que entregó información incorrecta. Los usuarios encontraron serias dificultades para recordar y escribir las contraseñas, provocando el uso de cadenas muy cortas e inseguras, y cuya «renovación» a los tres meses era el simple cambio de un número por otro.

¿Por qué sucedió esto? En primer lugar, Burr no es un experto en seguridad informática, y en segundo lugar, sus fuentes de información habían sido desarrolladas en los años ’80, antes de que la Web como la conocemos hoy existiera. Ahora retirado y con 72 años de edad, Burr decidió disculparse en público por las molestias ocasionadas, pero no podemos culparlo de todo. 2003 fue una época en la que no se hizo tanto hincapié sobre la seguridad. Los estudios disponibles eran limitados en cuanto a número y calidad, mientras que el mundo usaba a Windows XP SP1, verdadero colador si los hubo.

Escrito por Lisandro Pardo

Leave a Reply