Tal como lo he mencionado en repetidas ocasiones, el manejo de una infinidad de contraseñas o Passwords tiende a ser un gran problema para el usuario final y, en especial, para la industria de seguridad que ha sufrido un escándalo tras otro desde hace años.
Qué hacer al respecto del manejo de los Passwords en la industria?
Por todos los escíndalos y problemas relacionados con el mal uso de los passwords, es necesario el uso de una política de contraseñas para establecer los criterios de seguridad necesarios para la creación y uso de contraseñas en una organización. Dichas reglas suelen incluir como mínimo:
- Requisitos como la longitud mínima de la contraseña,
- La frecuencia de cambio de contraseña,
- La prohibición de contraseñas comunes o fácilmente adivinables.
La implementación de una política de contraseñas adecuada puede (en teoría, porque no hay nada infalible) ayudar a proteger los sistemas y los datos de una organización contra los ataques de fuerza bruta y otras formas de violación de contraseñas.
Cómo crear esa maravillosa política relacionada con los Passwords?
Como dicen por ahí “esto no es una comiza de once baras” (expresión para referirse a algo que es tan rígido como una cárcel) pero, existen algunos parámetros que vale la pena seguir para generar dicha política que ayude a ahorrarse dolores de cabeza:
- Longitud: Las contraseñas deben tener una longitud mínima de al menos 8 caracteres.
- Complexidad: Deben contener una combinación de caracteres alfanuméricos, especiales y mayúsculas y minúsculas.
- Cambio frecuente: Los passwords deben ser cambiados periódicamente (ejemplo, cada 90 días).
- No usar contraseñas comunes o fácilmente adivinables: Palabras comunes, fechas de nacimiento, números de teléfono, etc.
- No compartir contraseñas: cada usuario debe tener su propio y personal password (esto es como el cepillo de dientes, sólo lo debe usar usted).
- Habilitar el bloqueo preventivo en caso que los usuarios fallen más de 3 intentos al intentar adivinar escribir el password.
- Los violadores de la política deben sufrir las consecuencias de no cumplirla (ejemplos de este tipo de castigos son los bloqueos temporales).
- De ser posible usar dos factores o multi-factores para la autenticación. Si tiene los medios, vale la pena tratar de implementar los passkeys.
- No usar la misma contraseña en múltiples sistemas o cuentas.
- Utilizar herramientas para la detección y prevención de ataques de fuerza bruta.
- Capacitar a los usuarios sobre las mejores prácticas de seguridad de contraseñas.
- Revisar y actualizar regularmente la política de contraseñas en función de los cambios en la tecnología y los riesgos de seguridad.
Este tipo de políticas de uso de Passwords son la solución total?
Más allá de las políticas, hay que recordad que no hay nada infalible ni inviolable, constantemente los expertos en ciberseguridad juegan “al gato y al ratón” y al ratón, en donde mejoran los controles pero, también, las trampas se vuelven más astutas y, esa es una dinámica de nunca acabar!
