Los investigadores de seguridad ahora dicen que la longitud, la seguridad y la complejidad de las contraseñas son intrascendentes.
Durante años, los sitios de tecnología han estado repartiendo los mismos consejos sobre contraseñas, incluido el uso de contraseñas largas y complejas. La vergüenza es que todos estos consejos durante muchos años han tenido poco o ningún efecto sobre cómo el usuario doméstico promedio elige sus contraseñas. En lo que solo puede describirse como un cambio completo, el consenso actual entre los investigadores de seguridad es que, en el mundo real, lo fuerte, larga o compleja que sea una contraseña casi nunca importa.
Completo divulgación: Partes de este artículo se basan en este Artículo de blog de Malwarebytes
El tipo más común de ataque de contraseña es el relleno de credenciales, que utiliza contraseñas robadas en filtraciones de datos. Funciona porque es muy común que las personas reutilicen la misma contraseña en dos lugares y no se ve afectado en absoluto por la seguridad de la contraseña. El siguiente ataque más común es el rociado de contraseñas, donde los delincuentes usan listas cortas de contraseñas muy simples en tantas computadoras como sea posible. En ambas situaciones, una contraseña ridículamente simple pero única es lo suficientemente buena para derrotar el ataque.
Hay tipos raros de ataque (adivinación de contraseñas sin conexión) en los que una contraseña segura podría ayudar, pero la compensación es que las contraseñas seguras son mucho más difíciles de recordar para las personas, lo que las lleva a usar la misma contraseña para todo, lo que las hace mucho más vulnerables al relleno de credenciales ~ <fuente>
Por supuesto, los administradores de contraseñas representan una solución válida, pero la realidad es que, a pesar de todos los años de críticas y recomendaciones favorables, la mayoría de los usuarios domésticos promedio aún no los utilizan. Entonces, ¿cuál es la respuesta?
Autenticación de dos factores (2FA)
Comenzaré citando un extracto de un artículo de 2019 escrito por Alex Weinert de Microsoft, quien dice…” Según nuestros estudios, es un 99,9 % menos probable que su cuenta se vea comprometida si utiliza MFA“.
Alex lo llama MFA (autenticación multifactor), y Google lo llama 2SV (verificación en dos pasos), pero todos significan exactamente lo mismo: probar su identidad a través de más de un medio.
Siempre se requiere una contraseña, por supuesto, además de un medio secundario de identificación, que es generalmente en forma de un código único de 6 dígitos enviado a su teléfono. Ahora, cuando recomendé 2FA en el pasado, casi siempre recibí un comentario de alguien que se muestra escéptico acerca de dar su número de teléfono móvil, y no puedo culparlo. Sin embargo, configuré 2FA (a través de mi número de teléfono móvil) en varias cuentas hace algún tiempo y NUNCA recibí ningún tipo de spam o mensajes/llamadas no deseados. La única vez que escucho de esas cuentas es cuando inicio sesión y 2FA entra en juego.
Mi teléfono móvil siempre está en mi posesión y el acceso está protegido, por lo que, en mi opinión, es extremadamente método seguro para garantizar que nadie más pueda acceder a mis cuentas. Siempre he sido reacio a usar el teléfono o mi iPad para transacciones financieras, pero con 2FA implementado, no tengo tales reparos. Si realizo un pago a través de PayPal, por ejemplo, se me pedirá que continúe ingresando un código de verificación. Estoy feliz de cumplir, con la certeza de que, independientemente de cuán segura pueda ser la conexión, solo yo puedo recibir e ingresar ese código.
CONTINUACIÓN:
Aparentemente, el 4 de mayo fue el Día Mundial de la Contraseña, algo de lo que no estaba al tanto. Sin embargo, si no hace nada más este año, considere configurar 2FA en tantas cuentas como sea posible y lo antes posible. 2FA, MFA, 2SV, como quieran llamarlo, es absolutamente el mejor método para proteger sus cuentas, mucho más eficaz que una sola contraseña, independientemente de su solidez o complejidad.
Algunas cuentas ofrecen 2FA como opcional, otros no, pero en mi humilde opinión, 2FA debería ser un requisito obligatorio para todas las cuentas en línea.
—