Las empresas utilizan cada vez más infraestructuras informáticas para el desarrollo de su actividad. No todos los trabajadores pueden acceder a todos los servicios, aplicaciones y máquinas de la empresa. El método preferido de autenticación, que permite asegurar que sólo usuarios con autorización acceden a estos servicios, es el uso de contraseñas.
Esto hace que se dispare el número de contraseñas usadas para proteger uno de los activos más importantes de una empresa: su información. Debido a esto, es prioritario que exista una política respecto a la creación, uso y ciclo de vida de las contraseñas corporativas independientemente del tamaño de la empresa.
Recomendaciones a la hora de escoger una contraseña
Es muy importante tener en cuenta las características que debe cumplir cualquier contraseña que se quiera considerar segura:
- Una contraseña para ser segura debe tener al menos ocho caracteres y debe ser lo menos «regular» posible fomentando la inclusión de caracteres especiales (como |, @, -, # ), números y el uso alterno de mayúsculas y minúsculas.
- Hay que evitar el uso de palabras del diccionario o expresiones del tipo «qwerty» o «1234». Además, no se deben utilizar palabras o fechas que identifiquen a la empresa o a sus miembros.
- Se recomienda asimismo excluir fechas de nacimiento, nombres personales, etc., ya que se trata de información que algún atacante podría conocer previamente o sacar de Internet.
- Tampoco es recomendable usar la misma contraseña para diferentes servicios (web, correo electrónico, foros, etc.) con el fin de evitar, en caso de robo, que puedan entrar en más de uno de los sitios de la empresa.
Como escoger una contraseña
Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar, un refrán, el título de una película, el nombre de un libro que nos haya gustado, que tenga al menos 10 palabras y acortarla aplicando alguna regla sencilla.
Una manera sería seleccionando la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, «La seguridad es como una cadena, es tan fuerte como el eslabón más débil» podría convertirse en «lsecucetfceemd».
Ya tendríamos una contraseña de 10 caracteres. Sin embargo sigue siendo una contraseña débil por ser todo letras y todas minúsculas. A continuación debemos añadirle complejidad añadiendo mayúsculas, números y caracteres especiales. La forma de hacerlo ya depende de cada uno. Por ejemplo en este caso vamos a poner la primera y última letras de la contraseña en mayúsculas, usar la coma que aparece en medio de la frase original y para la palabra «una», usaremos el número «1». La contraseña final nos quedaría así: «Lsec1c,etfceemD».
Esta contraseña será mucho más segura que la anteriormente escogida.
Se recomienda perder 2 o 3 minutos en pensar una contraseña que cumpla las condiciones antes comentadas y que a la vez nos sea fácil de recordar.
¿Por qué es necesaria tanta seguridad?
Existen programas que tratan de acceder a los sistemas de información o aplicaciones web probando automáticamente miles de las contraseñas por segundo. En este sentido estas aplicaciones pueden funcionar de dos maneras.
La primera forma de actuar es usando lo que se llaman diccionarios de contraseñas, que son listados muy extensos de hasta millones de palabras que son secuencias de números, palabras del diccionario, nombres de personas y combinaciones de los anteriores grupos. Con un buen diccionario, un atacante podría obtener nuestra contraseña en cuestión de minutos si ésta no es lo suficientemente robusta.
La otra forma de actuar de estos programas es probando todas y cada una de las posibles combinaciones de letras, números y caracteres especiales. Este tipo de ataques son mucho más lentos, pero si nuestra contraseña es muy corta (menos de 7 caracteres) podría obtenerse en cuestión de minutos.
Gestión de contraseñas
Una vez que la empresa posee contraseñas seguras, éstas deben ser gestionadas correctamente.
Una de las medidas a aplicar es que han de cambiarse periódicamente o cuando se piensa que pueden haber sido comprometidas. Lo típico es una política de cambio de contraseñas cada 60-90 días.
Asimismo hay que tener mucho cuidado con la transferencia de contraseñas. Nunca se deben enviar ni por correo electrónico, ni a través de chat, ni por sms, ni escribirse en ningún cuaderno o post-it. El mejor lugar para alojar las contraseñas es en nuestro cerebro. Ahí sabemos que nadie podrá leerlas.
Los miembros de una empresa jamás deben anotar las contraseñas en papeles que estén a la vista o a los que se tenga fácil acceso. Si hay que utilizar un alto número de contraseñas, es mejor usar un programa para su gestión, como por ejemplo KeePass.
Otra cuestión importante es no utilizar contraseñas corporativas en ordenadores de los que se desconozca el nivel de seguridad porque estos equipos pueden tener instalados programas que capturen las contraseñas. Además, la empresa debe cambiar las contraseñas que vienen por defecto en el hardware y software.
Por último, hay que tener en cuenta que cuanto más valioso o vulnerable sea un sistema de la información, más seguras han de ser sus contraseñas y su política de gestión.
Algunos datos reales
Para hacernos una idea de que lo que estamos contando es real y pasa día a día, a continuación se muestran algunos datos relevantes.
Según un estudio reciente, las 12 contraseñas más usadas a lo largo de la historia han sido:
- 123456
- 12345
- 123456789
- password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
- qwerty
- (Nombre de Usuario)
Como se ve, se tiende a poner contraseñas simples (rockyou, iloveyou, o el propio nombre de usuario), secuencias numéricas y palabras de diccionario (princess, password).
Algunos datos extra:
- Se estima que el 4% de los usuarios tienen contraseñas que son variantes de las palabras ‘password’ o ‘contraseña’.
- Se estima que el 25% de las contraseñas son variantes de nombres propios o nombres de usuario.
- Se estima que un 14% de las contraseñas son combinaciones de letras o números fáciles de recordar (123456, etc)
En cuanto a la longitud de las contraseñas:
- Se estima que un 30% de las contraseñas tienen una longitud inferior a 7 caracteres.
- Un 19% de las contraseñas tiene 7 caracteres.
- Un 20% de las contraseñas tiene 8 caracteres.
- Sólo un 31% son realmente seguras teniendo más de 8 caracteres.
Resumen
Se recomienda siempre escoger contraseñas de al menos 8 caracteres, con mayúsculas, minúsculas, numero y caracteres especiales. Se recomienda huir de los nombres propios de las secuencias de números y caracteres y de cualquier palabra que podamos encontrar en un diccionario de la lengua.
Las contraseñas deben cambiarse periódicamente y nunca ser escritas en un papel o post-it que se deje a la vista de los demás. A ser posible las contraseñas deben ser memorizadas y si se usan muchas, usar alguna aplicación de gestión de contraseñas.
No hay comentarios:
Publicar un comentario