El NIST ha publicado un borrador relativo a la seguridad en el terreno de la identidad digital, incluyendo toda una serie de definiciones y recomendaciones para crear contraseñas más seguras y gestionarlas a lo largo del tiempo. Se puede leer aquí en inglés: Digital Identity Guidelines.

Lo más interesante es que rompe con algunas normas y consejos que quizá pudieron tener sentido en el pasado pero hace tiempo han dejado de tenerlo. Esto es debido a la evolución de las tecnologías que actualmente se utilizan para atacar a los sistemas de identificación/autenticación, a la seguridad criptográfica de las contraseñas y a otros detalles. Por ejemplo:

Cambios periódicos de contraseña: innecesarios. Antiguamente se recomendaba «cambiar la contraseña de vez en cuando» pero se ha demostrado que esto da problemas a todos los niveles, tanto del propio usuario como para los responsables de informática, y que no compensa la supuesta mejora en seguridad que proporciona – incluso la empeora.
Las contraseñas «creativas» no son más seguras. Las famosas combinaciones de mayúsculas, minúsculas y signos especiales para crear contraseñas más «complejas» dan una falsa sensación de seguridad – pero de hecho ya no se consideran necesarias. Son mejores otros sistemas, como la autenticación de dos factores o la utilización de software para crear contraseñas fuertes desde el principio.
Limitaciones a la hora de usar contraseñas triviales o comprometidas. Esta es una recomendación para quienes gestionen un servicio de cuentas de cualquier tipo: evitar en el momento de su creación contraseñas del tipo 1234, 1111, admin, …