Guías y recomendaciones en la creación de contraseñas

Guías y recomendaciones en la creación de contraseñas

En los últimos años, cualquier usuario de servicios de Internet y aplicaciones ha podido observar cambios en la lógica del manejo de contraseñas a la que estaban acostumbrados.  ¿Con que frecuencia pide Google o Facebook que cámbienos las contraseñas?

Esta nueva tendencia a no cambiar las contraseñas no implica debilitar la seguridad de los sitios, que por el contrario incorporan muchas otras herramientas y medidas adicionales para mejorar la seguridad nos brindan. Claramente luego de investigaciones a lo largo de los años, se ha llegado a la conclusión de que la relación entre usabilidad y seguridad no siempre ha sido bien gestionada, produciendo un resultado negativo en la medida que el comportamiento de las personas se vuelve predecible, y por ende sus contraseñas débiles.

Hoy está demostrado que el principal aspecto que define la fortaleza de una contraseña es su longitud, y que por el contrario las políticas de complejidad han llevado a resultados negativos.  Sin embargo, muchas empresas mantienen políticas de contraseñas obsoletas, que no están alineadas con las últimas recomendaciones, y que no incorporan medidas adicionales de seguridad para los accesos remotos o usuarios privilegiados.

¿Cuál es la seguridad que puede lograrse cuando una contraseña debe cambiarse de forma mensual, tener caracteres especiales, no ser igual a las 30 anteriores, etc.?  Lo único que se consiguen son contraseñas débiles, predecibles, inseguras, que siguen patrones de conducta y que en muchos casos son anotadas en los lugares menos seguros.

El NIST, Instituto de Estándares y Tecnológica de Estados Unidos, ha publicado una nueva versión del estándar. NIST Special Publication 800-63B, Digital Identity Guidelines Authentication and Lifecycle Management, https://pages.nist.gov/800-63-3/sp800-63a.html, en la cual se establecen nuevas guías y recomendaciones; y  En abril 2021 Microsoft emitió  varias recomendaciones de directiva de contraseñas, https://docs.microsoft.com/es-es/microsoft-365/admin/misc/password-polic....

El Centro Nacional de Ciberseguridad del Reino Unido emitió recomendaciones en el mismo sentido, apuntando a simplificar el enfoque en las políticas de contraseñas: https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-appr...

Estas guías y recomendaciones son las utilizadas por los principales proveedores de servicios de internet a nivel mundial, pero gran parte de las organizaciones no ha tomado nota de las mismas para sus políticas internas, y la exigida a sus clientes.

Algunas de las principales recomendaciones para las organizaciones según los estándares internacionales son:

  • Simplificar el enfoque respecto de las contraseñas, incorporando otras soluciones tecnológicas al proceso de autenticación.
  • Solicitar el cambio de las contraseñas solo en casos de ataques o sospechas.
  • Prohibir el uso de contraseñas comunes o predecibles.
  • Permitir que los usuarios registren y almacenen de forma segura sus contraseñas en herramientas adecuadas.
  • Permitir que los usuarios cambien fácilmente sus contraseñas.
  • Promover a que los usuarios no utilicen la misma contraseña en diferentes sitios y sistemas.
  • Concentrar los requisitos de complejidad en el largo de la contraseña, no su composición.
  • Establecer requisitos especiales para las cuentas con privilegios especiales y los accesos remotos.
  • Almacenar las contraseñas de forma segura.
  • Monitorear el acceso y promover el reporte de eventos por parte de los usuarios.

Consideramos que sería bueno revisar la política de contraseñas, por lo que recomendamos leer las fuentes mencionadas en el artículo. 

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

   

Miembro de