Políticas de seguridad en el manejo de contraseñas

Cisco Employee

Políticas de seguridad en el manejo de contraseñas

 

Las continuas amenazas de seguridad del mundo actual requieren que las empresas mantengan y mejoren sus políticas de administración respecto al uso de contraseñas.

Es común que las contraseñas sean obtenidas por personas externas a la compañía, teniendo acceso a recursos tales como documentos clasificados, equipos, servidores y bases de datos, que normalmente no deberían tener.

La mayoría de las vulnerabilidades y amenazas en las empresas provienen del personal interno, es por ello que se debe de informar y entrenar a todos los usuarios acerca de la importancia de tener contraseñas con un alto nivel de seguridad.

Los sistemas deben requerir al usuario que su contraseña cumpla con ciertos requisitos para garantizar la seguridad, como es la utilización de caracteres especiales, mayúsculas, minúsculas y uso de números no repetidos ni consecutivos,

Otro de los mecanismos recomendados para la configuración de contraseñas es el de colocar una “frase” que sea fácil de recordar para el usuario.

Ejemplo:

Hoy amaneció un poco nublado

Se podría cambiar utilizando las primeras dos letras de cada palabra e intercambiarlas por números.

H04MuNP0Nu

 o también,

Ho14M4n3c10UN

 

Hay que verificar que las contraseñas no puedan ser reutilizables, es decir, se debe tener una base de datos con contraseñas previamente configuradas por el usuario.

Un elemento que refuerza la seguridad es configurar un umbral a los equipos, para que con cierto número de intentos fallidos, se genere el bloqueo temporal de la cuenta, así como un mensaje en el sistema informando al administrador acerca del evento.

Es recomendable el cambio periódico de las contraseñas para aumentar su seguridad (en algunas organizaciones se puede hacer a los 30 o 90 días).

Normalmente dentro de una empresa se tienen diversas aplicaciones las cuales se acceden mediante diferentes contraseñas, esto, a pesar que podría parecer más seguro, existe la posibilidad de que los usuarios no puedan aprenderse la contraseña para cada uno de los sistemas con los que trabaja día a día. Es por ello, que se puede implementar la tecnología de “Single Sign-on” y sincronización de contraseñas, para que por medio de un sistema centralizado de administración se utilice solamente una contraseña para tener acceso a todos los recursos internos.

A pesar de que esta implementación es más confortable y cómoda para los usuarios finales, también puede inducir a nuevas vulnerabilidades, ya que si se obtiene la contraséa del usuario,  esta  persona podría tener acceso a todos los recursos dentro de la red.

 

Los ataques comunes relacionados a las contraseñas son:

Ataque de fuerza bruta: Como su nombre lo indica, el software del atacante buscará letra por letra hasta encontrar la contraseña.

Ataque de diccionario: Este tipo de ataque utiliza todas las palabras disponibles en el diccionario para encontrarla.

Mirando sobre el hombro: Se debe tener mucho cuidado cuando se coloca  una contraseña en algún lugar publico, ya que podría estar alguien detrás de nosotros atento a nuestos movimientos.

Ingeniería social. Este método se aprovecha de la buena voluntad de la gente para ayudar. Por medio de engaños una persona puede pretender ser alguien más dentro de la empresa y  convencer a la víctima para obtener información confidencial o datos personales. No se debe compartir las contraseñas de ninguna manera.

Buscando en el basurero. Por extraño que parezca, mucha información que descartamos puede ser útil para otras personas. Se debe  destruir completamente  documentos sensibles para la empresa.

También es necesario reforzar una política de “escritorio limpio” y recordar continuamente a los usuarios que no escriban las contraseñas en papel, o dentro de algún archivo en su computadora , ya que son vulnerables al robo de identidad.

 

Una buena política del uso de contraseñas se debe apoyar en las políticas de seguridad de cada empresa. El mantener contraseñas  fuertes y tener un personal capacitado y consciente acerca de su utilización, evitará que la información sea filtrada y utilizada con propositos negativos.

 

 

1620
Visitas
0
ÚTIL
0
Comentarios