Por cursorgpd.es.
Como primer paso para mejorar la política de la empresa con respecto al manejo de contraseñas, debemos evaluar la situación actual. Esto nos servirá para tener una visión global y analizar los puntos débiles con el objetivo de establecer una serie de mejoras que se traduzcan en un aumento de la seguridad y un control efectivo de cómo se maneja esta información tan sensible.
Aunque las nuevas tecnologías nos ofrecen nuevos métodos de autenticación diferentes a las contraseñas, la realidad nos demuestra que el uso de esta forma de acceso sigue siendo la prioritaria. Esto se debe a que cada vez más servicios se prestan a través de Internet, sumado al uso masivo de ordenadores, tablets y teléfonos móviles.
Acceder a los servicios a través de una contraseña es uno de los métodos más sencillo de implementar, y de ahí su éxito, pero, por contra, también es más vulnerable.
El problema se plantea cuando, debido a este aumento del uso de contraseñas, el usuario se deba enfrentar al hecho de que debe recordar un número cada vez mayor de claves de acceso. Ante esto, la solución más fácil es repetir la misma contraseña en distintos servicios o bien crear contraseñas sencillas y fáciles de usar, y, por tanto, más inseguras.
Esto puede suponer un problema grave para la empresa, puesto que esta forma de actuar es bien conocida por aquellas personas o grupos que intentan averiguar dichas contraseñas, dirigiendo sus estrategias en esa dirección y explotando este tipo de vulnerabilidades.
Existen una serie de técnicas de las que se sirven los atacantes para averiguar las contraseñas que les interesan.
Estos métodos pueden ser de tipo técnico o incluso utilizando la ingeniería social, engañando al usuario para que las revele, o revele pistas que conduzcan a averiguar la misma.
Una de las técnicas más habituales es tratar de adivinarla de forma automática, ya que un porcentaje de personas utilizan contraseñas con un formato predecible. Utilizar la misma contraseña en distintos sitios, nos hace vulnerables en distintos servicios.
La fuerza bruta es otro método de obtención de contraseñas habitual, consistente en probar de forma automática un gran volumen de contraseñas, con el objetivo de acabar dando con la correcta.
En ocasiones, los usuarios además almacenan sus contraseñas en lugar inseguros, por ejemplo, de forma física, apuntadas cerca de su puesto de trabajo, o, en sus equipos informáticos, en documentos electrónicos que contienen claves sin ninguna protección.
Es importante diseñar e implementar una política de contraseñas para la empresa que garantice la mayor protección y seguridad posibles.
Esta política debe ser comunicada a todos los integrantes de la empresa, haciendo especial hincapié en la importancia y obligatoriedad de que se sigan todas las directrices marcadas.
Le ofrecemos una serie de consejos que le ayudarán a establecer una política de gestión de contraseñas más segura para su empresa:
En primer lugar, revise la situación actual: qué contraseñas se utilizan, cómo se almacenan y qué usuarios tienen acceso a ellas. Esto le facilitará la detección de los puntos débiles y establecer medidas de corrección.
Siempre que sea posible, reduzca el uso de las contraseñas que se hace en la empresa, en algunos casos innecesarias. Existen soluciones más seguras como por ejemplo el acceso con control biométrico, entre otras. Aunque pueden suponer un coste inicial mayor, a la larga este se amortiza y la empresa habrá ganado en seguridad.
En ocasiones, será imposible evitar usar contraseñas. En estos casos, existen formas más seguras de autentificación, como la autentificación multifactorial que implica una autentificación por varias vías, por ejemplo, a través de una contraseña y a través de un código que se recibe en un móvil.
El inicio de sesión único es muy interesante para todos los trabajadores que deben acceder a distintos servicios con contraseña. Con el inicio de sesión único solo tendrán que recordar una única contraseña, y esto les permitirá usar el resto de servicios.
Por supuesto este inicio de sesión único deberá ser lo suficientemente seguro, algo que se consigue con la autenticación multifactorial.
Cuando hay un factor humano, hay menor control sobre las acciones que este pueda realizar, aunque exista formación previa respecto a la seguridad. Por eso, implementar soluciones técnicas adicionales para reforzar la seguridad de contraseñas y datos sensibles es una muy buena opción. Algunos ejemplos:
Sabiendo que muchas personas tienen tendencia a utilizar contraseñas simples y predecibles, podemos establecer un sistema que no les permita elegir determinadas contraseñas, por ejemplo, estableciendo una lista negra de contraseñas de uso más común que no se les permita elegir.
También podemos elegir el formato de contraseña válido. Una contraseña compuesta por caracteres, símbolos y números por ejemplo será mucho más segura.
Una de las formas de averiguar una contraseña es cuando esta está en tránsito. Por eso, los técnicos especializados, bien internos o bien quiénes estén encargados de este tipo de servicios, deberán implementar una serie de medidas de protección, por ejemplo:
Todas aquellas contraseñas que dan acceso a servicios o información crítica deben estar aún mas protegidas. Por ello, se deberán dotar de mayor protección adicional, mediante la implantación de un sistema de identificación multifactorial, acceso biométrico etc.