Propósitos de año nuevo: cambiar la política de contraseñas.

Propósitos de año nuevo: cambiar la política de contraseñas.

En los últimos años, cualquier usuario de servicios de Internet y aplicaciones ha podido observar cambios en la lógica del manejo de contraseñas a la que estaban acostumbrados.  ¿Con que frecuencia pide Google o Facebook que cámbienos las contraseñas?

Esta nueva tendencia a no cambiar las contraseñas no implica debilitar la seguridad de los sitios, que por el contrario incorporan muchas otras herramientas y medidas adicionales para mejorar la seguridad nos brindan. Claramente luego de investigaciones a lo largo de los años, se ha llegado a la conclusión de que la relación entre usabilidad y seguridad no siempre ha sido bien gestionada, produciendo un resultado negativo en la medida que el comportamiento de las personas se vuelve predecible, y por ende sus contraseñas débiles.

Hoy está demostrado que el principal aspecto que define la fortaleza de una contraseña es su longitud, y que por el contrario las políticas de complejidad han llevado a resultados negativos.  Sin embargo, muchas empresas mantienen políticas de contraseñas obsoletas, que no están alineadas con las últimas recomendaciones, y que no incorporan medidas adicionales de seguridad para los accesos remotos o usuarios privilegiados.

¿Cuál es la seguridad que puede lograrse cuando una contraseña debe cambiarse de forma mensual, tener caracteres especiales, no ser igual a las 30 anteriores, etc.?  Lo único que se consiguen son contraseñas débiles, predecibles, inseguras, que siguen patrones de conducta y que en muchos casos son anotadas en los lugares menos seguros.

El NIST, Instituto de Estándares y Tecnológica de Estados Unidos, publicó en Julio de este año una nueva versión del estándar. NIST Special Publication 800-63B, Digital Identity Guidelines Authentication and Lifecycle Management, https://pages.nist.gov/800-63-3/ , en la cual se establecen nuevas guías y recomendaciones; y  En mayo del 2016 Microsoft emitió una nueva Guía para las Contraseñas, https://www.microsoft.com/en-us/research/publication/password-guidance/ , que deja muy claro que el cambio frecuente de las contraseñas, no es de por si una buena práctica.
En enero del 2016 https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-appr... el Centro Nacional de Ciberseguridad del Reino Unido emitía recomendaciones en el mismo sentido, apuntando a simplificar el enfoque en las políticas de contraseñas.

Estas guías y recomendaciones son las utilizadas por los principales proveedores de servicios de internet a nivel mundial, pero gran parte de las organizaciones no ha tomado nota de las mismas para sus políticas internas, y la exigida a sus clientes.

Algunas de las principales recomendaciones para las organizaciones según los estándares internacionales son:

  • Simplificar el enfoque respecto de las contraseñas, incorporando otras soluciones tecnológicas al proceso de autenticación.
  • Solicitar el cambio de las contraseñas solo en casos de ataques o sospechas.
  • Prohibir el uso de contraseñas comunes o predecibles.
  • Permitir que los usuarios registren y almacenen de forma segura sus contraseñas en herramientas adecuadas.
  • Permitir que los usuarios cambien fácilmente sus contraseñas.
  • Promover a que los usuarios no utilicen la misma contraseña en diferentes sitios y sistemas.
  • Concentrar los requisitos de complejidad en el largo de la contraseña, no su composición.
  • Establecer requisitos especiales para las cuentas con privilegios especiales y los accesos remotos.
  • Almacenar las contraseñas de forma segura.
  • Monitorear el acceso y promover el reporte de eventos por parte de los usuarios.

Por eso este nuevo año, cuando determine su lista de propósitos para el 2018, además de empezar el gimnasio; sería bueno revisar la política de contraseñas. Por más información recomendamos leer las fuentes mencionadas en el artículo y en Datasec con gusto podemos apoyarle.

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social