FeaturedNOTICIAS

El problema con las contraseñas son las personas: CloudSavvy IT


Shutterstock / Frame Studio

Las contraseñas tienen problemas. Pueden ser demasiado débiles, reutilizados en múltiples sistemas, compartidos deliberadamente con otros usuarios y diseñados socialmente. Pero no es culpa de la contraseña. El problema es la gente.

Contraseña y naturaleza humana

Las contraseñas pueden ser hijos de la era del flower power, pero no podemos ser hippies y tener un espíritu libre con ellas. Desde que Fernando J. Corbató inventó la contraseña para proporcionar cierta privacidad y seguridad a los usuarios de computadoras multiusuario con un sistema de tiempo compartido compatible a principios de la década de 1960, las personas han tenido problemas para elegir contraseñas sólidas y únicas.

La naturaleza humana significa que muchas personas prefieren la comodidad a la seguridad. Se llama fricción de seguridad. Es el retroceso que se produce cuando una mejora en la seguridad requiere un cambio en el flujo de trabajo, un paso adicional o alguna reflexión y esfuerzo por parte del usuario.

Tener una sola contraseña es más fácil, ¿verdad? Solo necesitas recordar una cosa. Puede usarlo en cualquier lugar y puede escribirlo rápidamente. Si se ve obligado a cambiar periódicamente su contraseña, simplemente cambie el número o la fecha que marcó al final. Si un colega quiere usar su cuenta, ¿por qué no entregar sus credenciales?

Parte de la culpa es de los propietarios de las contraseñas, por supuesto. Pero quizás parte de la culpa recaiga en aquellos de nosotros que no logramos llegar a estos usuarios. Necesitamos entender cómo cambiar nuestro mensaje para que su contenido sea bienvenido y adoptado en lugar de ser visto como una molestia e ignorado.

Y sabemos que está siendo ignorado. Un informe de 2021 de NordPass analizó una base de datos de 275 millones las contraseñas y todos los sospechosos habituales todavía están presentes en la lista de contraseñas más utilizadas.

Contraseñas más utilizadas

Siempre que ocurre una violación de datos, los datos expuestos, tarde o temprano, aparecen en la web oscura. Podría estar a la venta o, como los 533 millones de registros personales de Facebook, está disponible de forma gratuita. Varias organizaciones toman copias de las bases de datos pirateadas y extraen direcciones de correo electrónico y contraseñas. El más conocido de ellos es el sitio web Have I Been Pwned.

Proporciona una función de búsqueda que le permite verificar si su correo electrónico ha sido capturado por violaciones de datos. Si es así, se le informa de qué sitios web u organizaciones provienen los datos. Puede cambiar la contraseña de estas cuentas y protegerlas de nuevo. Y donde sea que utilizaste la misma contraseña.

Esta es la lista de las diez contraseñas más populares encontradas en los datos violados en 2020. Los números entre paréntesis son la cantidad de veces que se encontró la contraseña en la base de datos.

  1. 1 2 3 4 5 6 (2.543.285)
  2. 123456789 (961,435)
  3. imagen 1 (371,612)
  4. contraseña (360,467)
  5. 12345678 (322,187)
  6. 111111 (230.507)
  7. 123123 (189,327)
  8. 1 2 3 4 5 (188.268)
  9. 1234567890 (171,724)
  10. senha (167,728)

Según Experte Password Checker, todos estos elementos se pueden piratear en menos de un segundo, excepto «picture1», que tardaría aproximadamente un minuto. Pero la mayor amenaza es que estas contraseñas ya están en la web oscura en bases de datos listas para usarse como munición en ataques de relleno de credenciales.

Independientemente de si la contraseña en la base de datos proviene de una de sus cuentas o no, seguirá funcionando en su cuenta. La primera entrada «123456» se vio en las bases de datos de violaciones 2,5 millones de veces, pero había sido expuesta en 23,5 millones de violaciones.

Es tan sorprendente como deprimente que la gente todavía use contraseñas como esta en la actualidad. Y lo mismo ocurre con las personas que crean plataformas que permitirán a los usuarios crear contraseñas como esta. Las contraseñas incorrectas deben interceptarse y rechazarse automáticamente al crearlas. Si los usuarios no siguen la guía en su propio conocimiento, los diseñadores de sistemas deben hacer imposible la creación de cuentas con contraseñas inseguras.

RELACIONADOS: Cómo comprobar si los correos electrónicos del personal infringen los datos

Políticas y administradores de contraseñas

En el lugar de trabajo, puede proporcionar una política de contraseñas que determine qué es una contraseña aceptable y cuál no. Refuerce las reglas de control de contraseñas en todos los sistemas para hacer cumplir contraseñas seguras. Promueva el uso de frases de contraseña que vinculen tres o cuatro palabras no relacionadas vinculadas por puntuación.

Si bien puede parecer contradictorio, considere seguir los consejos del Instituto Nacional de Estándares y Tecnología (NIST), el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y Microsoft y para eliminar requisitos para cambios periódicos de contraseña.

Los cambios regulares de contraseña no añaden nada a la seguridad y sin darse cuenta fomentan la elección incorrecta de contraseñas. Obliga a los usuarios a mantener una contraseña básica y a cambiarla cada vez que se fuerza un cambio, generalmente agregando un número o una fecha.

Es mucho mejor para las personas elegir contraseñas seguras y únicas y mantenerlas indefinidamente. Las contraseñas solo deben cambiarse cuando el usuario abandona la organización o se sospecha que la contraseña se ha visto comprometida.

Los administradores de contraseñas eliminan gran parte del problema

Fomente o incluso haga cumplir el uso de un administrador de contraseñas aprobado por la empresa. Estos crearán contraseñas únicas y seguras para cada cuenta, para cada usuario. Las contraseñas extremadamente complejas se crean automáticamente para usted, se ingresan automáticamente y solo necesita recordar una contraseña, la del administrador de contraseñas.

Los administradores de contraseñas son multidispositivo y multiplataforma, por lo que puede aprovecharlos en todos sus dispositivos. Las contraseñas se almacenan mediante un tipo de cifrado que requiere una clave del dispositivo para descifrarlas. Incluso si la empresa de gestión de contraseñas es pirateada, sus contraseñas no quedan expuestas.

Los administradores de contraseñas también brindan otros beneficios de seguridad. Los correos electrónicos de phishing a menudo contienen enlaces que dirigen al usuario desprevenido a un sitio web similar que recopila credenciales. El administrador de contraseñas no ingresará sus credenciales porque no reconocerá la URL falsa.

RELACIONADOS: Por qué debería utilizar un administrador de contraseñas y cómo empezar

Autenticación de dos factores

La autenticación de dos factores agrega otra capa de seguridad. Requiere dos cosas del usuario. Algo ellos saber, su contraseña, con algo de su tener, como su teléfono inteligente. Una aplicación en su teléfono inteligente mostrará un código de un solo uso que debe ingresar junto con su contraseña.

Esto significa que incluso si se expone una contraseña en una infracción, los actores de la amenaza no tendrán acceso a esa cuenta. Tenga en cuenta que la autenticación basada en SMS ya no se considera segura. Utilice sistemas que requieran un control remoto, un dispositivo dedicado o una aplicación para teléfonos inteligentes.

La autenticación multifactor va un paso más allá. Además de algo que usted sabe y algo que tiene, requiere algo que usted somos, como propietario de su huella digital, iris o voz únicos.

Desafortunadamente, la autenticación de dos factores no está disponible universalmente. Hay una gran cantidad de sistemas, casi con certeza la mayoría de los sistemas, que todavía dependen del tradicional par de credenciales de identificación y contraseña. Está cambiando lentamente, pero el modelo de autenticación de ID y contraseña estará disponible durante mucho, mucho tiempo.

RELACIONADOS: ¿Qué es la autenticación multifactor (MFA) y en qué se diferencia de 2FA?

Pasos prácticos a seguir

  • Políticas: Los requisitos de contraseña aceptables y las reglas para protegerlos deben capturarse en un documento de política. Si no está escrito, no es una política. Debe cubrir la solidez de las contraseñas, las frases de contraseña y brindar orientación sobre la protección de contraseñas. Nunca los escriba, nunca los comparta y nunca los use en más de un sistema.
  • Administradores de contraseñas: Especifique qué administradores de contraseñas están aprobados por su empresa y fomente o haga cumplir su uso. Hay muchos para elegir. NordPass, Bitwarden y 1Password son buenos productos con un plan gratuito o una prueba gratuita para que pueda ver si se ajustan a sus necesidades.
  • Autenticación de dos factores y de varios factores: Si está disponible la autenticación de dos o más factores, úsela. Y recuerde que solo porque haya agregado otra capa de autenticación, la calidad, la seguridad y la singularidad de sus contraseñas son tan importantes como siempre.
  • Sistema de diseño: Si escribe software, asegúrese de que las contraseñas débiles se filtren y rechacen cuando se creen las cuentas. Puede incluir listas de contraseñas rechazadas que nunca se pueden utilizar. También puede buscar solo recursos en línea como Have I Been Pwned para verificar si se ha encontrado una contraseña en violaciones de datos anteriores. Puede descargar la base de datos completa de contraseñas comprometidas de Have I Been Pwned si desea alojarla localmente.
  • Educación: Mientras «123456» aparezca en las listas de contraseñas más utilizadas, debemos seguir intentando acumular las contraseñas esenciales en casa.

TE INTERESA>>  ¿Cuándo estará la temporada 2 de 'Dirty John' en Netflix?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba