[Divulgación: trabajo para AgileBits, los creadores de 1Password]
El número mágico 7
El artículo de George A. Miller, “El número mágico siete, más o menos dos”, fue realmente innovador al dar inicio a lo que se conoció como la “Revolución Cognitiva” en psicología. Pero como tantas otras cosas, investigaciones posteriores han demostrado que la situación es mucho más complicada.
Sin embargo, no necesitamos mirar el medio siglo transcurrido en la psicología cognitiva para ver por qué este factor no es realmente relevante. Miller estaba hablando de memoria a corto plazo. Las contraseñas que las personas recuerdan residen en la memoria a largo plazo. Probablemente pueda recordar varios números de teléfono de diez dígitos.
- ¿Ser bueno en el ajedrez depende de una memoria fuerte?
- ¿Es importante recordar la prueba de cada teorema matemático?
- ¿Qué les sucede a los pacientes después de la hemispherectomía?
- ¿Qué nos dice lo siguiente sobre cómo funciona la memoria humana?
- ¿Cuáles son algunos métodos / trucos / prácticas adoptados para mejorar la memoria?
Además, una vez que algún “hecho” de la psicología está en la sobrecubierta de los libros de negocios que puede encontrar en un aeropuerto, puede concluir con seguridad que es ampliamente incomprendido.
Recordando contraseñas
Por supuesto, está en lo correcto al afirmar que los hechos sobre la cognición humana juegan una parte importante de lo que podemos pedir a las personas con sus contraseñas. La cantidad de contraseñas seguras distintas que una persona puede recordar es mucho menor que la cantidad de contraseñas distintas que necesita.
La reutilización de contraseña es un gran problema de seguridad. El año pasado, varias cuentas de Dropbox se vieron comprometidas porque las personas usaban la misma contraseña allí que usaban para sitios que habían sufrido infracciones. Lo mismo sucedió con Best Buy. No hubo violación real de Best Buy, pero las contraseñas de los clientes se descubrieron a través de violaciones de otros sitios: los amigos no permiten que los amigos reutilicen las contraseñas
Entonces (vea mi divulgación anterior), recomiendo encarecidamente que las personas usen un buen sistema de administración de contraseñas. Citando al investigador de contraseñas Troy Hunt, “la única contraseña buena es una que no puedes recordar”: Troy Hunt: La única contraseña segura es la que no puedes recordar
Las contraseñas que necesitamos recordar
Pero esto todavía nos deja con una pequeña cantidad de contraseñas que aún debemos recordar. Y debido a que tanto depende de ellos, necesitamos que sean muy fuertes. Lo que la gente no reconoce es que no solo necesitamos estas pocas contraseñas seguras para que sean recordadas por los humanos normales, sino que necesitamos que se creen. Si los humanos son malos para recordar cosas aleatorias, son mucho peores para generar aleatoriedad .
En Toward Better Master Password he argumentado que si elegimos palabras realmente al azar (tirando dados, por ejemplo), podemos obtener una cadena de cuatro o cinco palabras que podemos recordar y escribir, pero que siguen siendo enormemente difíciles de adivinar.
El crédito original para esto debería ir a Arnold Reinhold, Diceware Passphrase Home. Y después de revivirlo, se hizo famoso Randall Munroe, quien resumió la parte matemática del argumento en un solo cómic: Password Strength
Consulte mi artículo sobre por qué es crucial que utilice algún proceso aleatorio que no esté en su cabeza para crearlos. He visto a personas tratar de inventar ejemplos de este tipo de contraseñas, y siempre puedo decir si realmente usaron un proceso aleatorio. (Por ejemplo, las personas que intentan crear una secuencia aleatoria de palabras casi siempre elegirán sustantivos concretos).