Propósitos de año nuevo: cambiar la política de contraseñas.

Propósitos de año nuevo: cambiar la política de contraseñas.

En los últimos años, cualquier usuario de servicios de Internet y aplicaciones ha podido observar cambios en la lógica del manejo de contraseñas a la que estaban acostumbrados.  ¿Con que frecuencia pide Google o Facebook que cámbienos las contraseñas?

Esta nueva tendencia a no cambiar las contraseñas no implica debilitar la seguridad de los sitios, que por el contrario incorporan muchas otras herramientas y medidas adicionales para mejorar la seguridad nos brindan. Claramente luego de investigaciones a lo largo de los años, se ha llegado a la conclusión de que la relación entre usabilidad y seguridad no siempre ha sido bien gestionada, produciendo un resultado negativo en la medida que el comportamiento de las personas se vuelve predecible, y por ende sus contraseñas débiles.

Hoy está demostrado que el principal aspecto que define la fortaleza de una contraseña es su longitud, y que por el contrario las políticas de complejidad han llevado a resultados negativos.  Sin embargo, muchas empresas mantienen políticas de contraseñas obsoletas, que no están alineadas con las últimas recomendaciones, y que no incorporan medidas adicionales de seguridad para los accesos remotos o usuarios privilegiados.

¿Cuál es la seguridad que puede lograrse cuando una contraseña debe cambiarse de forma mensual, tener caracteres especiales, no ser igual a las 30 anteriores, etc.?  Lo único que se consiguen son contraseñas débiles, predecibles, inseguras, que siguen patrones de conducta y que en muchos casos son anotadas en los lugares menos seguros.

El NIST, Instituto de Estándares y Tecnológica de Estados Unidos, publicó en Julio de este año una nueva versión del estándar. NIST Special Publication 800-63B, Digital Identity Guidelines Authentication and Lifecycle Management, https://pages.nist.gov/800-63-3/ , en la cual se establecen nuevas guías y recomendaciones; y  En mayo del 2016 Microsoft emitió una nueva Guía para las Contraseñas, https://www.microsoft.com/en-us/research/publication/password-guidance/ , que deja muy claro que el cambio frecuente de las contraseñas, no es de por si una buena práctica.
En enero del 2016 https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-appr... el Centro Nacional de Ciberseguridad del Reino Unido emitía recomendaciones en el mismo sentido, apuntando a simplificar el enfoque en las políticas de contraseñas.

Estas guías y recomendaciones son las utilizadas por los principales proveedores de servicios de internet a nivel mundial, pero gran parte de las organizaciones no ha tomado nota de las mismas para sus políticas internas, y la exigida a sus clientes.

Algunas de las principales recomendaciones para las organizaciones según los estándares internacionales son:

  • Simplificar el enfoque respecto de las contraseñas, incorporando otras soluciones tecnológicas al proceso de autenticación.
  • Solicitar el cambio de las contraseñas solo en casos de ataques o sospechas.
  • Prohibir el uso de contraseñas comunes o predecibles.
  • Permitir que los usuarios registren y almacenen de forma segura sus contraseñas en herramientas adecuadas.
  • Permitir que los usuarios cambien fácilmente sus contraseñas.
  • Promover a que los usuarios no utilicen la misma contraseña en diferentes sitios y sistemas.
  • Concentrar los requisitos de complejidad en el largo de la contraseña, no su composición.
  • Establecer requisitos especiales para las cuentas con privilegios especiales y los accesos remotos.
  • Almacenar las contraseñas de forma segura.
  • Monitorear el acceso y promover el reporte de eventos por parte de los usuarios.

Por eso este nuevo año, cuando determine su lista de propósitos para el 2018, además de empezar el gimnasio; sería bueno revisar la política de contraseñas. Por más información recomendamos leer las fuentes mencionadas en el artículo y en Datasec con gusto podemos apoyarle.

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Datasec Blog

Propósitos de año nuevo: cambiar la política de contraseñas.
08 Dic
15 Nov

10 Oct

Datasec, estuvo presente como sponsor del reciente CLAI 2017.

 XXII CONGRESO LATINOAMERICANO DE AUDITORES INTERNOS
22 Sep

Se va a estar realizando el XXII CONGRESO LATINOAMERICANO DE AUDITORES INTERNOS, en la ciudad de Buenos Aires, Argentina; los días

 Los días 30 y 31 de agosto pasado, se realizó la 8va Edición del evento CIGRAS, organizado por el Capítulo de ISACA Uruguay, en el Hotel NH Columbia. Datasec, una vez más, se hizo presente participando como sponsor y expositor del evento.
12 Sep

 Los días 30 y 31 de agosto pasado, se realizó la 8va Edición del evento CIGRAS, organizado por el Capítulo de ISACA Uruguay, en e

16 Jun

El pasado jueves 8 de junio, El Semanario Búsqueda, recibió a nuestro director, el Ing.

Entrevista en Empresarios de Acá | Reynaldo de la Fuente Director de DATASEC
08 Jun

"Empresarios de Acá", el prestigioso programa de Nuevo Siglo TV conducido por Tatian

15 Mayo

Tal vez algunas organizaciones se han visto afectadas directa o indirectamente por este caso, pero lo cierto es que la gran mayoría serán simples o

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social