Desempolvando Políticas de seguridad: las contraseñas

Como cada primer jueves de mayo, hoy día 3, se celebra el Día Mundial de la Contraseña, utilizado en gran medida para difundir la necesidad de contar con contraseñas robustas y seguras así como, de utilizar mecanismos adicionales de protección para la identificación en servivios web.

A pesar de que en el seno de las compañías cada vez hay más concienciación en materia de ciberseguridad, no implica que se actúe de manera consecuente, sobre todo a la hora de manejar los accesos a la información, dispositivos o aplicaciones, donde lo más usual es que se requiera el uso de una dupla compuesta por usuario y contraseña. Hoy en día, aún es muy común encontrar que gran parte de los trabajadores gestionan estas credenciales de acceso acumulando contraseñas en un documento de texto, un Word o en una hoja de cálculo tipo Excel ubicados en una carpeta de un servidor al que cualquier trabajador tiene acceso, o simplemente apuntando la contraseña en un cuaderno, una nota o un post-it ubicado en el teclado de su ordenador, en el propio monitor o un poco más escondido (bajo el teléfono, peana de la pantalla, etc.).

Las contraseñas son las llaves de acceso a nuestros servicios y la primera barrera, por lo que si alguien no autorizado hiciera uso de las mismas estaría comprometiendo la privacidad de la información y datos a los que pudiera acceder. De esta manera, la gestión de las contraseñas se convierte en uno de los aspectos más importantes a la hora de asegurar los sistemas de información de una compañía. Para mitigar los riesgos derivados se recomienda establecer, difundir y verificar el cumplimiento de unas buenas prácticas en el uso de las contraseñas, como son las siguientes:

IMPLANTAR UNA GESTIÓN DE CONTRASEÑAS.

Esta práctica es esencial ya que implica identificar qué equipos, servicios o aplicaciones requerirán introducir credenciales de acceso. Además se han de definir cómo se generarán las claves y qué formato deberán seguir. Por último, se deberán establecer las políticas de gestión de claves: cómo se distribuyen, cómo se guardan, quién accede a los repositorios donde se almacenan o con qué periodicidad hay que cambiarlas; estos son algunos de los puntos que establecer para una gestión óptima de las mismas.

VALORAR EL USO DE MECANISMOS DE AUTENTICACIÓN EXTERNOS.

El objetivo de esta buena práctica será la selección y validación del uso de mecanismos de autenticación descentralizados que permitirán el uso de contraseñas únicas para acceder a distintos servicios. Por ejemplo: Social-login, autenticación federada, Single-sign-on, CSAB (Cloud Access Security Brokers), etc.

ACTIVAR HERRAMIENTAS PARA GARANTIZAR LA SEGURIDAD DE LAS CONTRASEÑAS.

Se trata de activar mecanismos en los sistemas que garanticen que nuestras contraseñas se generen de forma robusta, y que obliguen a los usuarios al cumplimiento de una serie de requisitos, como por ejemplo los periodos de validez de las mismas, que no sea posible su reutilización, el formato que deberán seguir, si cabrá la posibilidad de modificación, etc.
Para crear contraseñas robustas debemos asegurarnos que tenga una longitud mínima de ocho caracteres, que combine mayúsculas, minúsculas, números y símbolos. No debemos utilizar como claves palabras sencillas en cualquier idioma, nombres propios, lugares, combinaciones excesivamente cortas, fechas de nacimiento, etc. Tampoco debemos usar claves formadas únicamente a partir de la concatenación de varios elementos, por ejemplo, “Juan1985” (nombre + fecha de nacimiento).

NO UTILIZAR CONTRASEÑAS POR DEFECTO.

Es imprescindible cambiar cuanto antes las contraseñas por defecto. Esta medida está encaminada a evitar el uso de las contraseñas que vienen por defecto en los sistemas y aplicaciones ya que pueden ser fácilmente identificables, bien por ser comunes a muchos servicios cotidianos o bien porque muchas se pueden encontrar por Internet.

IMPLEMENTAR DOBLE FACTOR PARA SERVICIOS CRÍTICOS.

El doble factor de autenticación (2FA), que conviene distinguir de la verificación en dos pasos, es una medida de seguridad que añadirá una capa extra de protección al sistema de autenticación, ya que requiere, además de la propia contraseña del servicio, es decir «algo que sé», de otro mecanismo independiente para comprobar la identidad «algo que soy», por ejemplo una huella digital o el iris, o «algo que tengo» como las llaves de seguridad o los tokens criptográficos, etc.

NO COMPARTIR CONTRASEÑAS.

Partimos de la premisa de que si se comparten, dejarán de ser secretas y por lo tanto se perderá el control sobre los accesos a los sistemas, servicios o aplicaciones. Además, nunca se deben apuntar en papeles o post-it, ni enviarlas en correos electrónicos o cualquier otro sistema o servicio que permita la captura.

NO UTILIZAR LA MISMA CONTRASEÑA PARA SERVICIOS DIFERENTES.

Nunca se debe utilizar una misma contraseña para diferentes servicios, ni una misma contraseña para un uso personal y profesional. Si alguien fuera capaz de adivinarla o sustraerla, podría comprometer todos nuestros servicios.

CAMBIAR LAS CONTRASEÑAS PERIÓDICAMENTE.

Esta práctica es necesaria para garantizar la confidencialidad. La periodicidad dependerá de la criticidad de los servicios o la información a la que se acceda. Además, también se deben evitar usar, o impedir que puedan usarse, contraseñas utilizadas anteriormente.

NO HACER USO DEL RECORDATORIO DE CONTRASEÑAS.

Aunque la podamos considerar de utilidad porque nos permite ser más ágiles a la hora de acceder a los servicios, tenemos que tener en cuenta que de esta manera podríamos estar facilitando acceso a personal no autorizado, sobre todo en navegadores web.

UTILIZAR GESTORES DE CONTRASEÑAS.

Se trata de herramientas de gran utilidad cuando hay que manejar un número importante de contraseñas. Para el acceso a este gestor será necesario contar con una contraseña robusta de acceso y con un doble factor de autenticación debido a la importancia del contenido que salvaguarda.

Aplicar mecanismos como los mencionados para generar y mantener contraseñas seguras puede considerarse tedioso y molesto sin embargo es una práctica necesaria para impedir accesos no deseados a la información y con ello salvaguardar la privacidad de nuestro puesto de trabajo o empresa.

Fuente:https://www.incibe.es