Sabrina - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Ponga más capas alrededor de las contraseñas para aumentar la seguridad

En vista del hecho de que las contraseñas complejas no son tan fuertes como la mayoría de la gente piensa y la mayoría de las estrategias de contraseña inevitablemente llevan a las personas a seguirlas ciegamente, ¿qué es lo que realmente hace una buena contraseña y cuándo no basta con una sola contraseña?

Las contraseñas no desaparecerán pronto. Para muchas organizaciones, las contraseñas son una parte esencial del control de acceso, utilizado por individuos para obtener acceso a aplicaciones, dispositivos, sistemas y redes.

Sin embargo, se sabe que las políticas y controles de contraseñas faltan en muchas empresas. Las políticas de contraseñas rara vez se revisan y actualizan, y siguen consejos obsoletos para que las contraseñas sean aleatorias y complejas, y por lo tanto, difíciles de recordar.

La aplicación de contraseñas complejas puede ser perjudicial no solo para la persona que intenta recuperar las contraseñas, sino también para la organización, ya que cuando falla la recuperación, hay un aumento en los costos de la mesa de servicio para restablecer las contraseñas.

Además, las contraseñas complejas a menudo dan como resultado que las personas "agreguen 1" a su contraseña caducada para que sea más fácil de recordar. Esto hace que cualquier posible violación de contraseñas, incluso contraseñas caducadas, sea un riesgo mayor.

La guía del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido recomienda encarecidamente ayudar a los usuarios con la "sobrecarga de contraseñas". Específicamente, esto incluye no imponer la caducidad regular de las contraseñas, en lugar de recomendar que las contraseñas se cambien solo cuando existe una sospecha o se sabe que las contraseñas fueron comprometidas.

Este compromiso puede ocurrir por varios medios. La ingeniería social involucra a un atacante que tienta a una persona a que regale su contraseña: cualquier cosa, desde una encuesta en la calle que ofrece una barra de chocolate a cambio de una contraseña, hasta un engaño elaborado y convincente que se centra en una persona con acceso privilegiado.

Otros ejemplos incluyen ataques de fuerza bruta (probar automáticamente una contraseña contra una identificación de usuario hasta que se haga una coincidencia), y encontrar contraseñas no cifradas en reposo (como escritas o almacenadas en otro lugar que no sea un depósito seguro de contraseñas) o en tránsito (como abrir a través de internet).

Hoy en día, muchas empresas se están centrando en encontrar mejores formas de administrar las contraseñas y están utilizando alternativas, como la biométrica (reconocimiento de huellas dactilares, por ejemplo) y la autenticación de múltiples factores (como la contraseña y un token). Las contraseñas son como el resto de los controles de seguridad: funcionan mejor en capas.

Solo para los sistemas y la información menos importantes se debe confiar en las contraseñas como el único método para garantizar que una persona tenga acceso. La colocación de controles de seguridad adicionales alrededor de las contraseñas es esencial.

Existe un creciente interés entre las empresas y sus usuarios para automatizar la autenticación, como el uso del dispositivo móvil como un factor de autenticación, para verificar que una persona está intentando iniciar sesión en una cuenta o sistema específico. Esto significa que las funciones de seguridad pueden desarrollar una política de contraseñas en línea con la guía del NCSC, solo imponiendo el cambio de contraseña bajo sospecha o confirmación de una violación.

Los usuarios también tienen responsabilidades, a partir de la notificación de sospechas de compromiso de la contraseña. También deben participar en programas de educación y concientización sobre protección de contraseñas, desconfiando de la ingeniería social y otros métodos utilizados para obtener conocimiento de las contraseñas.

Por supuesto, la función de TI también tiene una responsabilidad, asegurando que las contraseñas predeterminadas en los sistemas, hardware, etc. hayan sido cambiadas.

Es probable que las contraseñas sigan siendo uno de los controles de seguridad centrales implementados por las empresas, pero veremos que se agregarán más capas a las contraseñas para continuar la lucha contra las violaciones de seguridad e incidentes.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close