Montevideo, 7 de mayo de 2021.
El día de ayer, primer jueves de mayo, se conmemoró el Día Mundial de la Contraseña. La contraseña es la clave de autenticación que utilizamos para controlar el acceso a todo tipo de recursos: correos electrónicos, cuentas de bancos, redes sociales, activos de la organización para la cual trabajamos, dispositivos móviles, etcétera. En la actualidad, para nuestra vida cotidiana utilizamos diversas contraseñas con las cuales accedemos a información importante, por ello, es relevante ser conscientes del cuidado que debemos tener al momento de establecer y almacenar contraseñas.
En los últimos años, se presenta una nueva tendencia: los sitios y muchas de las empresas ya no solicitan cambiar frecuentemente las contraseñas. Dejar esto atrás no implica debilitar la seguridad, ya que por el contrario este enfoque termina siendo negativo. La gente genera contraseñas triviales, que cumplen con lo requerido, pero son simples y con una lógica fácil de descubrir. La buena práctica hoy en día es incorporar otras herramientas y medidas adicionales para mejorar la seguridad.
Un aspecto fundamental, es que la contraseña sea secreta. No deben compartirse, usar siempre la misma y debemos evitar registrarlas electrónicamente o en papel. Si se encuentran en un lugar de fácil acceso, no sirve que sean seguras. Una opción recomendable son los sistemas de administración de contraseñas como Syspass o implementar una solución de autenticación de múltiples factores, por ejemplo, DUO Security donde además de la contraseña, permite incorporar un elemento de validación adicional de seguridad por medio del envío de un mensaje SMS, llamada telefónica o disponer de una aplicación en el celular para aprobar la autenticación.
Otro tema a tener en cuenta es la extensión de la contraseña y no utilizar elementos obvios: nombres propios, fechas, nombres de mascotas, meses, ciudades, etc. Debemos hacer cada contraseña lo más única posible y no usar la misma en todos lados. Al menos, es ideal separar las de las cuentas importantes como bancos, trabajo o correo electrónico, de otras de sitios más triviales o que por su naturaleza son menos seguros.
En nuestro blog compartimos una nota sobre las políticas de contraseñas y les brindamos algunas de las principales recomendaciones para las organizaciones, según los estándares internacionales:
- Simplificar el enfoque respecto de las contraseñas, incorporando otras soluciones tecnológicas al proceso de autenticación.
- Solicitar el cambio de las contraseñas solo en casos de ataques o sospechas.
- Prohibir el uso de contraseñas comunes o predecibles.
- Permitir que los usuarios registren y almacenen de forma segura sus contraseñas en herramientas adecuadas.
- Permitir que los usuarios cambien fácilmente sus contraseñas.
- Promover a que los usuarios no utilicen la misma contraseña en diferentes sitios y sistemas.
- Concentrar los requisitos de complejidad en el largo de la contraseña, no su composición.
- Establecer requisitos especiales para las cuentas con privilegios especiales y los accesos remotos.
- Almacenar las contraseñas de forma segura.
- Monitorear el acceso y promover el reporte de eventos por parte de los usuarios.
En consecuencia con las recomendaciones anteriores, recientemente, el Centro Nacional de Seguridad Cibernética (National Cyber Security Centre), organización del Gobierno del Reino Unido que brinda asesoramiento y apoyo en cuanto a ciberseguridad, emitió un documento en el cual proporcionan medidas para mejorar la seguridad de los sistemas.
- Reducir la confianza en las contraseñas. Solo utilizar contraseñas en donde son necesarias y apropiadas.
- Implementar soluciones técnicas: limitación o bloqueo de la cuenta. Para el bloqueo, permita entre 5-10 intentos de inicio de sesión antes de bloquear.
- Considere usar monitoreos de seguridad para defenderse de ataques.
- La lista negra de contraseñas evita contraseñas comunes que se utilizan.
- Asegurar que las aplicaciones web corporativas requieran autenticación.
- Proteger el acceso a las bases de datos de usuarios.
- Priorizar administradores, cuentas en la nube y usuarios remotos
Por último, queremos mencionar que existe un sitio https://haveibeenpwned.com/, que ha recopilado billones de contraseñas de sitios que han sido hackeados, en la cual cualquier persona puede chequear si alguna contraseña suya se encuentra libremente disponible en internet.
