13 de octubre, 2020
8 minutos
Protocolos de contraseña seguras
El uso masivo de internet gracias a los dispositivos móviles, las conexiones más estables y rápidas (como la fibra óptica y el 4G) y el cloud computing, ha propiciado que la red se convierta en el medio por el cual se realicen múltiples tareas tanto por empresas como particulares.
Las numerosas ventajas de esta nueva forma de comunicación de realizar tareas de forma virtual, implica estar expuesto a amenazas relacionadas con la ciberseguridad.
Una de las acciones más importantes para incrementar las medidas de ciberseguridad es la de disponer de protocolos de contraseña seguras que dificulten a los ciberdelincuentes al tratar de descifrarlas, protegiendo los accesos no deseados a los sistemas informáticos de la empresa.
Qué debe incluir una buena política de empresa respecto a las contraseñas
Las contraseñas son parte fundamental de la seguridad de una empresa, ya que permiten el acceso a información, aplicaciones o sistemas. Las contraseñas son utilizadas por los trabajadores para poder acceder desde sus dispositivos y realizar su trabajo, por lo que es importante que la empresa disponga de un protocolo de contraseñas seguras que permita garantizar la seguridad de los accesos, impidiendo que ninguna persona no autorizada se conecte a la red y disponga de acceso a sistemas e información.
Una política adecuada para la gestión de contraseñas en la empresa debe incluir:
Requerir claves adecuadas
Todo protocolo de contraseña segura debe incluir una serie de reglas para generar una contraseña sólida y robusta que dificulte los intentos de crackear por parte de terceros. Para ello es necesario obligar a cumplir una serie de normas a la hora de crear o modificar una contraseña como la longitud de la misma, el uso de números y letras, el uso de símbolos, etc.
Autenticación de dos factores
Uno de los métodos que incrementa la seguridad a la hora de acceder con usuario y contraseña a través de internet es utilizando el método de autenticación de dos factores (2FA). Este método requiere una confirmación del usuario tras introducir la contraseña de acceso, para verificar que realmente es él el que realiza el acceso.
El doble factor puede utilizar distintas tecnologías como mensaje SMS, reconocimiento facial, huella digital, reconocimiento de voz, etc. Se trata de un buen sistema para aumentar la ciberseguridad a la hora de acceder a aplicaciones o información empresarial (podemos verlo en la banca, que ha ido adoptando este sistema para el acceso a las operaciones online)
Generación de claves aleatorias
La mejor forma de controlar el primer acceso de un trabajador a la red es proporcionándole una primera contraseña segura. Para ello la empresa debe disponer de un sistema de generación de claves seguras aleatorias que serán proporcionadas a los usuarios para su primer acceso.
El usuario podrá posteriormente cambiar dicha contraseña segura, pero siguiendo los estándares de seguridad que proporcione la empresa (longitud de la contraseña, uso de mayúsculas y minúsculas, entre otros).
Reducir el número de intentos de acceso
Una forma de evitar que terceros intenten descifrar contraseñas de acceso es limitando el número de intentos de acceso. Para ello se debe fijar un número de tentativas para poder acceder de forma correcta y, en caso contrario, se podrá optar por bloquear el acceso temporal o incluso de forma permanente (por lo que el trabajador deberá ponerse en contacto con el departamento TI para poder desbloquear el usuario y recibir una nueva password).
Rotación de credenciales
Un solo acceso no autorizado a un sistema puede poner en riesgo a toda la organización. Por eso es importante disponer de un sistema de rotación que obligue a los usuarios a modificar sus contraseñas cada cierto tiempo. Con esta acción se reducirán las amenazas ocasionadas por crackers, keyloggers y otros métodos habituales para el robo de contraseñas por parte de ciberdelincuentes.
La rotación de credenciales es una herramienta muy útil, sobre todo para algunos tipos de cuentas con altos privilegios, como es el caso de administradores de TI.
Almacenamiento seguro de contraseñas
El almacenamiento y copias de seguridad (backup) de contraseñas debe ser seguro, impidiendo que cualquier persona pueda acceder a la base de datos donde se almacenan. Para ello es necesario disponer de sistemas de seguridad como encriptación de contraseñas que impidan que sean accesibles.
Cómo crear una contraseña segura
A continuación mostramos como crear una contraseña segura para el acceso a los sistemas de la empresa. Esta contraseña seguirá una serie de pautas que permitirá crear una password robusta y muy difícil de descifrar (incluso con los programas más sofisticados).
Los pasos a seguir para la creación de una contraseña segura son:
Tamaño de la contraseña
La contraseña debe ser larga para que programas de descifrado y crackeo de contraseñas necesiten más tiempo para poder descifrarla. A mayor número de caracteres tenga una contraseña más difícil será de averiguar, por lo que es importante no utilizar una sola palabra y recurrir a una combinación de varias o incluso a una frase.
Utilizar caracteres, números y símbolos
La contraseña debe tener una combinación de letras, números y símbolos que se encuentren distribuidos a lo largo de la misma. Esta combinación hará que los programas de fuerza bruta lo tengan más difícil que necesitarán probar todas las combinaciones posibles utilizando todos estos elementos.
Intercalar mayúsculas y minúsculas
Toda contraseña debe incluir letras en mayúsculas y minúsculas porque así multiplicará las posibles combinaciones que deba buscar un programa de descifrado de contraseñas.
Evitar contraseñas obvias
A la hora de crear una contraseña segura es importante no cometer ciertos errores habituales como son:
- Serie de números o letras como 123 o qwerty.
- No incluir fechas como el año de nacimiento.
- No utilizar datos personales, como nombre, apellidos, nombre de mascotas, ciudades, direcciones, etc.
- No generar contraseñas similares a otras ya utilizadas anteriormente.
Otros consejos para generar contraseñas seguras
- No utilizar la misma clave para todos los servicios, ya que si se ve comprometida, estarán todos los servicios afectados.
- No apuntar la clave en papel y mucho menos dejarla en lugares públicos (por ejemplo, al lado del ordenador).
- No guardar la clave en el ordenador en un archivo de texto (en caso de hacerse, utilizar un nombre de archivo que no haga referencia a la clave).
La gestión de contraseñas es un punto clave de toda empresa en el marco actual de trabajo donde el cloud computing y el teletrabajo es cada vez más común. Disponer de protocolos de contraseña seguras permitirá que el nivel de ciberseguridad aumente, evitando que personas no autorizadas accedan a sistemas y datos de la empresa.
Uno de los aspectos más importantes para la ciberseguridad es la generación de contraseñas seguras que cumplan una serie de reglas que permitan crear una password robusta, difícil de averiguar por terceros utilizando programas de descifrado de contraseñas.
Los usuarios de los sistemas de una empresa disponen de distintos privilegios a la hora de acceder a los mismos. Es importante prestar especial atención a la protección de contraseñas de aquellos usuarios con un mayor grado de privilegios, proporcionando protección adicional si fuese necesario.
AMBIT BST
En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.
Cuéntanos tu opinión