L'Institut de Tecnologia i Estàndards nord-americà (NIST) va determinar l'any 2003 les conegudes com a regles d'or per generar contrasenyes segures, però el seu creador, l'investigador Bill Burr, ara ha desmentit la seva veritable utilitat i les deixa en dubte.
Segons l'estàndard, una contrasenya ha d'aconseguir una determinada longitud, combinar caràcters alfanúmerics, símbols, majúscules i minúscules. L'objectiu final d'aquest patró és evitar que la gent usi contrasenyes fàcilment predictibles pels cibercriminals.
Aquestes regles han donat lloc també, com apunten des de G DATA, a contrasenyes com ara P@$$w0rd que, a les poques setmanes són reemplaçades per P@$$w0rd2, després per P@$$w0rd3 i així successivament. Si bé compleixen amb tots els requisits, des del punt de vista d'un atacant, no obstant això, són molt fàcil de trencar usant un programari especialitzat.
Frases per fer memòria
Les últimes recomanacions del NIST per a la creació de claus robustes aposten per frases llargues que es puguin memoritzar. Tracten de fer de les contrasenyes impossibles de memoritzar una cosa del passat. Davant el canvi en la recomanació del NIST per crear una contrasenya segura, els experts expliquen que aquells que estan acostumats i se senten còmodes amb les tradicionals contrasenyes complexes poden mantenir els seus patrons de creació de passwords sense necessitat de modificar els seus hàbits sobre aquest tema, però ja no serà necessari canviar-les regularment si no hi ha motiu evident per fer-ho.
Per tots els altres, les opcions es multipliquen: és possible usar frases completes, incloent espais en blanc i caràcters especials. Però encara que les tradicionals regles estiguin en dubte, la contrasenya ha de seguir sent difícil d'endevinar i, si s'aposta per una frase, és convenient que sigui llarga, com recomanen des de la companyia de seguretat.
Més de 8 caracters
La longitud segueix sent un dels factors que defineixen la fortalesa d'una contrasenya i aquesta longitud no ha de ser mai inferior a vuit caràcters. No obstant això, la millor garantia és apostar pel doble factor, com afirma Tim Berghoff, expert en ciberseguridad de G DATA.
Els aniversaris, les cèlebres 123456, password, abcdef o qwertyuiop segueixen sent un mala opció com a contrasenya. G DATA també avisa que la regla de no tornar a usar la mateixa clau per a múltiples propòsits (per exemple, correu electrònic, plataformes socials, tendes online...) segueix en vigor.
Per crear contrasenyes és possible usar frases completes, incloent espais en blanc i caràcters especials
En conseqüència, cada servei ha de tenir la seva pròpia contrasenya i, si és possible, activar un segon mètode d'autenticació. Un administrador de contrasenyes pot ser una eina molt útil.
De forma resumida, G DATA aconsella que les contrasenyes robustes siguin una frase amb sentit o combinació aleatòria, però suficientment llarga; sempre que sigui possible, l'usuari ha d'activar l'autenticació de doble factor, i usar una contrasenya diferent per a cada servei. Fins i tot es pot recórrer a un administrador de contrasenyes.