La práctica demasiado común de usar la misma combinación de dirección de correo electrónico / contraseña para iniciar sesión en varios sitios web puede ser perjudicial, especialmente para empleadores con muchos usuarios y activos valiosos protegidos por contraseñas, como universidades.

"Si alguien usa la contraseña y la dirección de correo electrónico de la universidad para registrarse, decir, LinkedIn, y LinkedIn es violado por ciberdelincuentes, eso significaría que la contraseña de su universidad está en la web para que todos la vean, "dijo Dan Calarco de la Universidad de Indiana, coautor de un nuevo artículo que examina la práctica de la reutilización de contraseñas.

Pero los investigadores de IU han descubierto una forma sencilla de frustrar la intención de los delincuentes de acceder a datos universitarios.

"Descubrimos que requerir contraseñas más largas y complicadas daba como resultado una menor probabilidad de reutilización de contraseñas, "los autores escriben en el artículo, Factores que influyen en la reutilización de contraseñas:un estudio de caso. Los autores son Jacob Abbott, un Ph.D. de IU Bloomington. estudiante; Daniel Calarco, jefe de personal de la Oficina del Vicepresidente de TI y CIO de IU; y L. Jean Camp, profesor de la Escuela de Informática de IU Bloomington, Computación e Ingeniería. El grupo presentó sus hallazgos el 21 de septiembre en el TPRC46:Conferencia de investigación sobre comunicaciones, Política de información e Internet en Washington, CORRIENTE CONTINUA.

Para investigar el impacto de la política en la reutilización de contraseñas, El estudio analizó las políticas de contraseñas de 22 universidades diferentes de EE. UU. incluida su institución de origen, IU. Próximo, extrajeron conjuntos de correos electrónicos y contraseñas de dos grandes conjuntos de datos que se publicaron en línea y contenían más de 1.300 millones de direcciones de correo electrónico y combinaciones de contraseñas. Basado en direcciones de correo electrónico que pertenecen al dominio de una universidad, Las contraseñas se compilaron y compararon con la política de contraseñas oficial de una universidad.

Los hallazgos fueron claros:las estrictas reglas de contraseñas reducen significativamente el riesgo de violación de datos personales de una universidad.

"Nuestro artículo muestra que los requisitos de la frase de contraseña, como una longitud mínima de 15 caracteres, disuaden a la gran mayoría de los usuarios de IU (99,98 por ciento) de reutilizar contraseñas o frases de contraseña en otros sitios, "escriben". Otras universidades con menos requisitos de contraseña tenían tasas de reutilización potencialmente de hasta el 40 por ciento ". Su análisis encontró que IU se desempeñó mejor de las 22 universidades y tenía los requisitos más extensos. Los autores no pudieron probar legalmente si las credenciales eran realmente válidas; en su lugar, examinaron si las contraseñas podrían ser potencialmente válidas dados los requisitos de contraseña pública, como la longitud de la contraseña, complejidad y otros requisitos.

"IU ha trabajado con profesores de seguridad y usabilidad para diseñar nuestras políticas de contraseñas, con el resultado de políticas que valoran el tiempo de las personas al tiempo que mitigan el riesgo, "Camp dijo." La longitud y la complejidad se equilibran con el período extendido antes de que se deban generar nuevas contraseñas y el uso de una ventana de tiempo de autenticación más larga para las aplicaciones. El lanzamiento de la autenticación de dos factores de la Universidad de Indiana es igualmente un modelo ".

Los autores ofrecen las siguientes recomendaciones para proteger las contraseñas:

1. Aumente la longitud mínima de la contraseña más allá de los 8 caracteres.
2. Aumente la longitud máxima de la contraseña.
3. No permita el nombre de usuario o el nombre de usuario dentro de las contraseñas.
4. Considere la autenticación multifactor.

La autenticación multifactor es cada vez más común y utilizable. IU, por ejemplo, emplea el inicio de sesión en dos pasos. Con los beneficios potenciales de reducir el riesgo de reutilización de contraseñas, La autenticación multifactor puede ser una alternativa viable para cambiar la longitud y / o complejidad de las políticas de contraseñas.

"Nuestras recomendaciones no solo se aplican a las universidades, pero también puede ser utilizado por otras organizaciones, servicios o aplicaciones, " escriben.