Prácticas recomendadas para políticas de contraseñas

Las contraseñas solían ser una forma segura de autenticación. Ahora, son vulnerables. Sin embargo, siguen siendo el método de autenticación más común y, por lo tanto, los equipos y empresas de IT están determinando formas de mantener el uso de contraseñas y al mismo tiempo fortalecerlo. Este es el caso de las políticas de contraseñas. Cuando hablamos con clientes anteriores, descubrimos que: 

  1. Los usuarios tienden a hacer contraseñas simples (e.j. password123) ya que es fácil de recordar, pero estos tienden a ser de alto riesgo como  80% de todas las violaciones de datos  involucran contraseñas robadas. 
  1. Los usuarios crean contraseñas más seguras con estándares especiales, como caracteres y números, pero tienden a olvidarlos, lo que requiere soporte técnico de IT y ralentiza los flujos de trabajo. 
  1. Un usuario podría estar volviendo de vacaciones y olvidar su contraseña. 

No es exagerado decir que casi todos los profesionales de IT comprenden los fundamentos de una buena gestión y cumplimiento de contraseñas. Elementos como la longitud, la complejidad y la solidez de la contraseña son componentes comunes del cumplimiento y la columna vertebral de una buena política de contraseñas. Si bien sabemos que las contraseñas son un factor de seguridad importante, las empresas deben observar estas prácticas recomendadas para mejorar sus políticas de contraseñas. 

¿Qué son las políticas de contraseña? 

Como se mencionó un poco, las políticas de contraseña sientan las bases para que los usuarios dentro de una empresa establezcan su contraseña. En otras palabras, esto significa determinar la longitud de una contraseña, qué tan compleja debe ser (es decir, agregar caracteres especiales, letras mayúsculas o números) y con qué frecuencia caducan. Las políticas de contraseñas se establecen para mitigar el riesgo proveniente de los actores de amenazas que roban las credenciales de los usuarios, por lo que el objetivo de las políticas de contraseñas es fortalecer la capa externa de la empresa. 

Con la pandemia de COVID-19, lo más probable es que los usuarios trabajen parte de su semana laboral en casa, lo que significa que los actores de amenazas han armado la casa de un usuario para comprometer la columna vertebral de la empresa. Esto significa que los usuarios necesitan contraseñas más seguras, pero desafortunadamente, los usuarios no están dispuestos a hacer que su propia contraseña sea compleja, agregar caracteres aleatorios y cosas por el estilo.  Por lo tanto, las políticas de contraseñas son importantes para establecer una guía para que los usuarios mantengan estándares de seguridad más altos. 

¿Cuáles son las buenas políticas de contraseñas? 

No todas las políticas de contraseñas son igualmente efectivas. Algunos pueden ser un obstáculo para sus usuarios, mientras que otros pueden tener un buen impacto. Aquí hay algunas políticas comunes de contraseñas que puede considerar. 

Política de caducidad de contraseña 

La política de caducidad de la contraseña se explica por sí misma ¿Cuánto durará tu contraseña actual?  la caducidad de la contraseña  es importante para mitigar los riesgos, ya que los hackers ya no podrán usar contraseñas más antiguas para acceder a tu cuenta. Como hemos visto en las violaciones de datos de JBIS y Colonial Pipeline, las contraseñas antiguas que no se han cambiado o caducado pueden cerrar una gran empresa. Imagina que un hacker encontró una contraseña antigua de  la tuya, pero  se sorprendió al descubrir que ya no funciona. Lp más probable es que haya cambiado su contraseña porque estaba caducada. 

Sin embargo, los administradores de IT deben tener cuidado al implementar políticas de caducidad de contraseña demasiado agresivas. Esto puede conducir a un aumento de las llamadas al help desk ya que más usuarios finales llamarán para restablecer manualmente tu contraseña. Además, tener una política agresiva de caducidad de contraseñas puede eventualmente debilitar la seguridad de las contraseñas de un usuario como resultado de la fatiga de contraseñas. Cuando los usuarios  tienen que  reestablecer constantemente sus contraseñas, a menudo eligen contraseñas que son fáciles de cambiar, como contraseña3 a contraseña4, lo que facilita que los piratas informáticos se comprometan una vez que notan el patrón. 

Existe una delgada línea entre el cumplimiento y el exceso de cumplimiento que puede generar una experiencia de usuario deficiente y un aumento en los costes del help desk. 

Longitud de las contraseñas frente a la complejidad de las contraseñas 

¿Qué es más fuerte, una contraseña más complicada con caracteres y números especiales o una contraseña larga de alrededor de 15-16 caracteres? Si bien muchos usuarios deberían adoptar ambos, el NIST (Instituto Nacional de Estándares y Tecnología) y otros grupos se inclinan por la longitud sobre la complejidad. 

Ves, los usuarios son predecibles. Cuando se limitan a los requisitos de complejidad estándar, los usuarios a menudo seguirán patrones simples que hacen que atacar y descifrar su inicio de sesión sea mucho más fácil.  Sin embargo, con la implementación de recursos adicionales, como imponer una cantidad mínima de caracteres diferentes y requerir cambios de contraseña con menos frecuencia, la complejidad puede ser suficiente para la mayoría de los entornos.  Después de todo, garantizar que las contraseñas tengan un alto nivel de complejidad sigue siendo una estrategia válida. Sin embargo, los usuarios finales caen en malas prácticas de seguridad porque la complejidad suele ser demasiado difícil de seguir y mantener.  

La razón por la que los usuarios finales prefieren la longitud a la complejidad es que es mucho más fácil de seguir. Esto no hace que las contraseñas sean más largas. mejor  desde un punto de vista objetivo. Más bien, depender de contraseñas más largas suele ser más práctico para el usuario final estándar.  Después de todo, cuando se reduce a eso, la longitud es solo otro factor de complejidad. Es más fácil pensar en una contraseña larga, o una frase de paso, que idear un nuevo método para incorporar números y símbolos. 

Las políticas que se enfocan principalmente en la extensión a menudo optan por el término «frases de paso» debido al significado literal y representativo detrás de él.  Si le pide a un usuario final que presente una oración o frase como contraseña (incluida la gramática), está imponiendo complejidad sin molestar al usuario. Las frases son fáciles de recordar y, técnicamente hablando, son más difíciles de descifrar. 

Por ejemplo, la contraseña:   Brooklyncooks240pizzasaweek!  es un buen ejemplo que contiene 28 caracteres que es fácil de recordar, pero no fácil de adivinar. 

Prácticas recomendadas de la política de antigüedad mínima de la contraseña 

La edad mínima de la contraseña es un tema confuso para algunos. Antigüedad mínima de la contraseña significa que los usuarios deben usar su nueva contraseña establecida durante al menos una cierta cantidad de tiempo (algunas organizaciones: 24 horas, otras: 6 meses) antes de que puedan restablecer su contraseña. Nuevamente, los usuarios son predecibles y, en este caso, los usuarios pueden tener contraseñas favoritas que les gusta usar, ya sea que les resulte fácil de recordar o que crean que su contraseña es segura, etc. Sin embargo, después de usar ‘una contraseña favorita’ y tener que restablecerla, no pueden volver a usar la contraseña, por lo que se ven obligados a elegir una nueva contraseña que no les gusta. 

Por lo tanto, muchas empresas tienen una política de reutilización de contraseñas en la que los usuarios no pueden reutilizar sus dos últimas contraseñas, pero esto significa que los usuarios podrán usar su contraseña favorita eventualmente. Lo que los usuarios terminan haciendo es restablecer su contraseña hasta que puedan usar su favorita nuevamente.  

La edad mínima de la contraseña resuelve este problema al exigir a los usuarios que usen su contraseña durante un cierto período de tiempo antes de cambiarla.  

¿Por qué son necesarias las políticas de contraseñas  ? 

Una búsqueda rápida en Google sobre el cumplimiento de las contraseñas arrojará una gran cantidad de artículos sobre requisitos normativos específicos, mejores prácticas y estándares de la industria. El Instituto Nacional de Estándares y Tecnología (NIST) tiene  40 páginas  que ofrece recomendaciones y administración de contraseñas (borrador NIST 800-18), y hay numerosas guías regulatorias acerca de SOX, PCI-DSS, HIPAA, GLBA y CJIS y cada uno ofrece sus propios aspectos específicos de lo que se requiere para el cumplimiento.  

Las regulaciones son excelentes para establecer las expectativas y las «reglas del camino» cuando se trata de redactar, implementar e incorporar las mejores prácticas en sus políticas y procedimientos, pero a menudo no hacen un buen trabajo para anticipar y reaccionar ante comportamiento humano cuando se trata de cumplimiento y de hacer lo correcto. 

Como empresa, puede decidir poner el listón muy alto con respecto a sus políticas internas, incluida su política de caducidad de contraseña y similares, para asegurarse de que superen fácilmente las expectativas reglamentarias. Si bien este enfoque tiene el mérito de hacer que todos los auditores de cumplimiento estén lo más felices posible, debe ser muy consciente de algunas de las consecuencias no deseadas que puede generar una política de contraseñas estricta. 

Estas políticas de contraseñas y mejores prácticas son una guía, no un grupo de reglas para implementar, y saber lo que quieren sus usuarios lo ayudarán a finalizar la política de contraseñas según sea necesario. Encontrar el equilibrio entre seguridad y comodidad no es fácil, pero tampoco tiene por qué ser difícil. 
 
Si mantienes las pautas anteriores al crear tu Política de contraseñas, sus usuarios utilizarán contraseñas más seguras, pero en estos días, las contraseñas por sí solas no son suficientes. Incluso con contraseñas más largas y complejas, los piratas informáticos encuentran la manera, especialmente a medida que más piratas informáticos adquieren técnicas más complejas que pueden superar los requisitos de seguridad de contraseñas más estrictos y las mejores prácticas. 
 
Si implementas una contraseña segura con una solución de gestión de acceso a la identidad (IAM) flexible y bien integrada, demostrará la facilidad de acceso a los usuarios al tiempo que mejora la infraestructura de ciberseguridad. PortalGuard es la solución de IAM que le devuelve el control, proporcionando opciones flexibles de inicio de sesión único y autenticación y estándares de contraseña que cumplen con sus objetivos de seguridad y brindan una experiencia de usuario optimizada. 
 
Obtén más información sobre la seguridad de las contraseñas, las mejores prácticas y cómo fortalecer su contraseña con otros métodos de autenticación. aquí

Find out what PortalGuard® can do for your business.