Guías

2024 Normas del NIST sobre la longitud mínima de las contraseñas: 16 caracteres o más.

Con el auge de los ordenadores cuánticos, las contraseñas deben ser más largas y complejas. Estos consejos te ayudarán a proteger tus cuentas online.

Chart on password security based on length and complexity according to 2024 recommendations by NIST and CISA

En Tuta nos centramos en mantener seguros los datos de nuestros usuarios con un cifrado a prueba de cuántos. Para lograr la máxima seguridad, la importancia de contraseñas fuertes, seguras y lo suficientemente largas no puede ser exagerada. Las contraseñas y su longitud son la primera línea de defensa para garantizar que ningún acceso no autorizado pueda dañar tus datos o a ti mismo. Aunque factores como la complejidad y la imprevisibilidad son importantes, los expertos insisten en que la longitud es un elemento crítico para garantizar la seguridad de las contraseñas. Pero dadas las nuevas amenazas de los ordenadores cuánticos, ¿cuál es la longitud mínima óptima de contraseña recomendada por el NIST y la CISA?

Lo que dicen los expertos en seguridad

Los expertos en ciberseguridad abogan constantemente por contraseñas más largas como componente clave de una seguridad robusta. “La longitud de la contraseña aumenta significativamente el tiempo y los recursos computacionales necesarios para descifrarla”, afirma Bruce Schneier, criptógrafo de renombre y experto en seguridad. “Una contraseña más larga aumenta exponencialmente la dificultad para los ataques de fuerza bruta, lo que la convierte en un aspecto crucial de la fortaleza de la contraseña”.

El Instituto Nacional de Normas y Tecnología de EE.UU. (NIST) ha recomendado en el pasado elegir una longitud mínima de contraseña superior a 14 caracteres para contraseñas seguras, pero también afirma que la longitud mínima absoluta de una contraseña debe ser de 8 caracteres, mientras que la longitud óptima se sitúa entre 14 y 16 caracteres. El NIST también destaca que las contraseñas más largas son mejores y más resistentes frente a las técnicas modernas de craqueo, incluidos los ataques selectivos avanzados, por ejemplo por parte de agentes estatales o servicios secretos, que son capaces de utilizar hardware potente o incluso computación cuántica. Con el aumento de la potencia de cálculo, las contraseñas también necesitan aumentar su longitud para resistir los ataques.

Activa la privacidad con un solo clic.

Haga que su contraseña tenga 16 caracteres o más

La siguiente tabla sobre la longitud y complejidad de las contraseñas se basa en las recomendaciones del NIST y CISA, publicadas en 2024 . Con el avance de los ordenadores cuánticos, todo el mundo necesita revisar la longitud de sus contraseñas para comprobar si siguen siendo lo suficientemente seguras como para resistir los ataques de los ordenadores cuánticos, con una potencia de cálculo muy superior a la de los sistemas informáticos tradicionales.

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Gráfico sobre la seguridad de las contraseñas en función de su longitud y complejidad según las recomendaciones para 2024 del NIST y CISA.

Mientras que los expertos en seguridad sugieren al menos 12 caracteres para una buena longitud mínima de contraseña, las contraseñas de 16-20 caracteres o más son ideales para cuentas altamente sensibles. La Agencia de Ciberdefensa de Estados Unidos (CISA) recomienda:

“Al menos 16 caracteres - ¡más larga es más fuerte!“.

El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST) ha actualizado sus recomendaciones sobre la longitud de las contraseñas en 2024 y afirma:

“La longitud de la contraseña es un factor primario en la caracterización de la fortaleza de la contraseña”.

En 2024, el NIST publicó una nueva directriz para los servicios en línea en relación con los requisitos de contraseña para hacerlos más seguros. Similar a la recomendación de CISA de 16 caracteres para la longitud mínima ideal de la contraseña, el NIST establece que una contraseña segura DEBERÍA:

“tener una longitud mínima de 15 caracteres”.

Longitud de la contraseña frente a complejidad

Dada la nueva y mayor longitud de las contraseñas, los consejos anteriores sobre el uso de caracteres especiales y la no utilización de palabras del diccionario no pesan tanto como con contraseñas más cortas. En general, dicen los expertos en seguridad, cuanto más larga, mejor. Pero si quieres aspirar a la contraseña perfecta, no está de más seguir también estas recomendaciones:

  • Mayúsculas y minúsculas: KLJDFwerfn
  • Caracteres numéricos: 923857
  • Caracteres especiales: =)§)]€&
  • Aleatoriedad: Es importante evitar patrones predecibles, palabras de diccionario solamente o información personal.

  1. Contraseñas exclusivamente numéricas: Una contraseña formada exclusivamente por caracteres numéricos (0-9) sólo ofrece diez opciones posibles para cada carácter. Por ejemplo, una contraseña numérica de ocho caracteres tendría 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 = 100.000.000 (100 millones) de combinaciones posibles.

  2. Números y letras minúsculas: Si se añaden las letras minúsculas (a-z) a la mezcla, el conjunto se amplía a treinta y seis opciones posibles para cada carácter. Para una contraseña de ocho caracteres que utilice tanto números como minúsculas, el número de combinaciones aumenta drásticamente hasta 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (dos billones ochocientos veintiún mil millones ciento nueve millones novecientos mil ) combinaciones posibles.

Para equilibrar seguridad y facilidad de uso, considere la posibilidad de utilizar frases de contraseña: una serie de palabras aleatorias encadenadas (por ejemplo, “¡Millas solares50>Metros lunares51!”) que son fáciles de recordar pero difíciles de adivinar.

A la hora de elegir una contraseña segura, ten en cuenta que tanto la longitud como la complejidad son importantes. Sin embargo, si tienes dificultades con la complejidad, haz tu contraseña más larga y obtendrás un efecto similar en términos de seguridad de la contraseña.

Longitud de la contraseña frente a tiempo de descifrado

La longitud de una contraseña es uno de los factores más importantes a la hora de determinar el tiempo que tarda un hacker en descifrarla. Las herramientas de descifrado de contraseñas se basan en la fuerza bruta, un método que prueba sistemáticamente todas las combinaciones posibles de una contraseña dada hasta encontrar la correcta. Este ataque requiere un tiempo que, obviamente, depende de la longitud mínima de la contraseña. En realidad, el tiempo que necesita un atacante de fuerza bruta para descifrar una contraseña crece exponencialmente con cada carácter adicional. Por ejemplo, una contraseña de seis caracteres puede tardar minutos u horas en descifrarse, dependiendo de su complejidad y de la potencia de cálculo disponible. Sin embargo, aumentar la longitud a 12 caracteres puede hacer que el proceso de descifrado dure años o incluso siglos, especialmente cuando se combina con diversos tipos de caracteres como números, letras mayúsculas y minúsculas, caracteres especiales y símbolos.

Este aumento exponencial del tiempo subraya por qué las contraseñas más largas ofrecen una protección más sólida.

Las recomendaciones del NIST para 2024 sobre la longitud mínima y la estructura de las contraseñas también deben ser tenidas en cuenta por los servicios en línea, que tienen que actualizar sus requisitos de contraseña y, lo que es más importante, permitir contraseñas más largas, ya que muchos servicios siguen limitando el número de caracteres que los usuarios pueden introducir al crear contraseñas. Tuta Mail, por ejemplo, pide una contraseña de al menos 10 caracteres, pero permite contraseñas de longitud ilimitada. Además, Tuta ofrece un generador de contraseñas al registrarse que ya incorpora las directrices del NIST al generar frases de contraseña largas con palabras seleccionadas al azar para que la contraseña sea lo suficientemente larga como para alcanzar una fortaleza óptima.

A continuación explicamos con más detalle cómo crear una contraseña segura.

Por qué son mejores las contraseñas más largas

La longitud mínima de una contraseña está directamente correlacionada con el número de combinaciones posibles que un actor malicioso debe intentar para adivinarla. Por ejemplo:

  • Una contraseña de 10 caracteres que utilice una mezcla de mayúsculas, minúsculas, números y símbolos ofrece alrededor de 83 sextillones de combinaciones.

  • Una contraseña de 16 caracteres se amplía a más de 10 octillones de combinaciones, lo que supone un enorme salto en dificultad.

Incluso los ordenadores cuánticos, de los que se espera que planteen importantes retos a la encriptación tradicional, seguirán encontrando difíciles de descifrar las contraseñas largas con estructuras impredecibles.

Activa la privacidad con un solo clic.

Conclusiones de la encuesta de usuarios de Tuta Mail

En Tuta Mail nos centramos en la seguridad de última generación y ya hemos integrado el cifrado seguro cuántico en nuestros servicios de correo electrónico y calendario. En Tuta, la clave privada del usuario se asegura con su contraseña, por lo que elegir una contraseña larga y fuerte es aún más importante. Por eso hemos realizado una encuesta entre 2.500 usuarios para conocer mejor los conocimientos de la gente sobre la seguridad de las contraseñas.

Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer Longitud de las contraseñas de los usuarios de Tuta: ¿Cuál es la longitud media de su contraseña? Tiene … caracteres.

Teniendo en cuenta que los usuarios de Tuta no representan al internauta medio, sino que son grandes conocedores de la tecnología y están interesados en la seguridad, los resultados son impactantes:

  • El 16% utiliza generalmente contraseñas de hasta 10 caracteres.
  • El 32% utiliza contraseñas con una longitud de 11 a 15 caracteres.
  • El 31% utiliza contraseñas de entre 16 y 20 caracteres para proporcionar un alto nivel de seguridad.
  • El 21% prefiere contraseñas de más de 20 caracteres para obtener la máxima protección.

Es sorprendente -incluso chocante- ver que, a pesar de que los usuarios de Tuta saben tanto sobre seguridad, el 16% elige una contraseña de hasta 10 caracteres solamente (¡lo cual no es suficientemente seguro!) y el 32% se conforma con una contraseña de entre 11 y 15 caracteres, a pesar de que las contraseñas más largas serían definitivamente mejores, especialmente con el auge de los ordenadores cuánticos.

Hay que tener en cuenta que el usuario medio de Tuta sabe mucho más sobre seguridad en línea que el internauta medio. Por ejemplo, la misma encuesta también mostró que el 90% de los usuarios saben cómo cifrar un correo electrónico de extremo a extremo con Tuta Mail, y el 43% son competentes en el uso de cifrado PGP, un número que sin duda no alcanzaríamos si planteáramos estas preguntas al público en general.

A pesar de este alto nivel de conocimientos digitales, el 34% de los usuarios de Tuta Mail utiliza una contraseña de 14 caracteres o menos, incluso para cuentas privadas como su buzón cifrado.

Esto demuestra que aún nos queda un largo camino por recorrer para educar a la gente en las mejores prácticas de seguridad en línea.

Lecciones de la encuesta Tuta

Los resultados de la encuesta revelan que los usuarios de Tuta tienen un conocimiento sofisticado de la seguridad, pero también ponen de manifiesto que hay margen de mejora. Mientras que el 52% de los usuarios intenta utilizar contraseñas de más de 15 caracteres, el 16% sigue considerando suficientes contraseñas de 10 caracteres o menos, lo que deja las cuentas vulnerables.

Dado que los usuarios del proveedor de correo electrónico de seguridad cuántica Tuta Mail tienen más conocimientos que el internauta medio, resulta chocante que el 16% utilice contraseñas de sólo 10 caracteres o incluso menos. Esto lleva a preguntarse cuántas cuentas en línea son vulnerables a ataques de fuerza bruta. En resumen, deben de ser muchas.

La longitud de la contraseña es una de las formas más eficaces y sencillas de mejorar la seguridad en línea. Con la creciente amenaza de los ciberataques -y la inminente amenaza de la informática cuántica-, utilizar contraseñas largas y complejas es imprescindible.

Los resultados de la encuesta de Tuta ponen de relieve la necesidad de educar mejor a la gente sobre la longitud mínima óptima de las contraseñas y animarla a utilizar gestores de contraseñas, así como generadores de contraseñas aleatorias. Además, las cuentas importantes deben protegerse con autenticación de dos factores, mejor con claves U2F por hardware.

Trabajemos juntos por una Internet más privada y una mejor protección de sus datos.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.