Las contrase\u00f1as sol\u00edan ser una forma segura de autenticaci\u00f3n. Ahora, son vulnerables. Sin embargo, siguen siendo el m\u00e9todo de autenticaci\u00f3n m\u00e1s com\u00fan y, por lo tanto, los equipos y empresas de IT est\u00e1n determinando formas de mantener el uso de contrase\u00f1as y al mismo tiempo fortalecerlo. Este es el caso de las pol\u00edticas de contrase\u00f1as. Cuando hablamos con clientes anteriores, descubrimos que: <\/p>\n\n\n\n
No es exagerado decir que casi todos los profesionales de IT comprenden los fundamentos de una buena gesti\u00f3n y cumplimiento de contrase\u00f1as. Elementos como la longitud, la complejidad y la solidez de la contrase\u00f1a son componentes comunes del cumplimiento y la columna vertebral de una buena pol\u00edtica de contrase\u00f1as. Si bien sabemos que las contrase\u00f1as son un factor de seguridad importante, las empresas deben observar estas pr\u00e1cticas recomendadas para mejorar sus pol\u00edticas de contrase\u00f1as. <\/p>\n\n\n\n
Como se mencion\u00f3 un poco, las pol\u00edticas de contrase\u00f1a sientan las bases para que los usuarios dentro de una empresa establezcan su contrase\u00f1a. En otras palabras, esto significa determinar la longitud de una contrase\u00f1a, qu\u00e9 tan compleja debe ser (es decir, agregar caracteres especiales, letras may\u00fasculas o n\u00fameros) y con qu\u00e9 frecuencia caducan. Las pol\u00edticas de contrase\u00f1as se establecen para mitigar el riesgo proveniente de los actores de amenazas que roban las credenciales de los usuarios, por lo que el objetivo de las pol\u00edticas de contrase\u00f1as es fortalecer la capa externa de la empresa. <\/p>\n\n\n\n
Con la pandemia de COVID-19, lo m\u00e1s probable es que los usuarios trabajen parte de su semana laboral en casa, lo que significa que los actores de amenazas han armado la casa de un usuario para comprometer la columna vertebral de la empresa. Esto significa que los usuarios necesitan contrase\u00f1as m\u00e1s seguras, pero desafortunadamente, los usuarios no est\u00e1n dispuestos a hacer que su propia contrase\u00f1a sea compleja, agregar caracteres aleatorios y cosas por el estilo. Por lo tanto, las pol\u00edticas de contrase\u00f1as son importantes para establecer una gu\u00eda para que los usuarios mantengan est\u00e1ndares de seguridad m\u00e1s altos. <\/p>\n\n\n\n
No todas las pol\u00edticas de contrase\u00f1as son igualmente efectivas. Algunos pueden ser un obst\u00e1culo para sus usuarios, mientras que otros pueden tener un buen impacto. Aqu\u00ed hay algunas pol\u00edticas comunes de contrase\u00f1as que puede considerar. <\/p>\n\n\n\n
La pol\u00edtica de caducidad de la contrase\u00f1a se explica por s\u00ed misma \u00bfCu\u00e1nto durar\u00e1 tu contrase\u00f1a actual? la caducidad de la contrase\u00f1a es importante para mitigar los riesgos, ya que los hackers ya no podr\u00e1n usar contrase\u00f1as m\u00e1s antiguas para acceder a tu cuenta. Como hemos visto en las violaciones de datos de JBIS y Colonial Pipeline, las contrase\u00f1as antiguas que no se han cambiado o caducado pueden cerrar una gran empresa. Imagina que un hacker encontr\u00f3 una contrase\u00f1a antigua de la tuya, pero se sorprendi\u00f3 al descubrir que ya no funciona. Lp m\u00e1s probable es que haya cambiado su contrase\u00f1a porque estaba caducada. <\/p>\n\n\n\n
Sin embargo, los administradores de IT deben tener cuidado al implementar pol\u00edticas de caducidad de contrase\u00f1a demasiado agresivas. Esto puede conducir a un aumento de las llamadas al help desk ya que m\u00e1s usuarios finales llamar\u00e1n para restablecer manualmente tu contrase\u00f1a. Adem\u00e1s, tener una pol\u00edtica agresiva de caducidad de contrase\u00f1as puede eventualmente debilitar la seguridad de las contrase\u00f1as de un usuario como resultado de la fatiga de contrase\u00f1as. Cuando los usuarios tienen que reestablecer constantemente sus contrase\u00f1as, a menudo eligen contrase\u00f1as que son f\u00e1ciles de cambiar, como contrase\u00f1a3 a contrase\u00f1a4, lo que facilita que los piratas inform\u00e1ticos se comprometan una vez que notan el patr\u00f3n. <\/p>\n\n\n\n
Existe una delgada l\u00ednea entre el cumplimiento y el exceso de cumplimiento que puede generar una experiencia de usuario deficiente y un aumento en los costes del help desk. <\/p>\n\n\n\n
\u00bfQu\u00e9 es m\u00e1s fuerte, una contrase\u00f1a m\u00e1s complicada con caracteres y n\u00fameros especiales o una contrase\u00f1a larga de alrededor de 15-16 caracteres? Si bien muchos usuarios deber\u00edan adoptar ambos, el NIST (Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda) y otros grupos se inclinan por la longitud sobre la complejidad. <\/p>\n\n\n\n
Ves, los usuarios son predecibles. Cuando se limitan a los requisitos de complejidad est\u00e1ndar, los usuarios a menudo seguir\u00e1n patrones simples que hacen que atacar y descifrar su inicio de sesi\u00f3n sea mucho m\u00e1s f\u00e1cil. Sin embargo, con la implementaci\u00f3n de recursos adicionales, como imponer una cantidad m\u00ednima de caracteres diferentes y requerir cambios de contrase\u00f1a con menos frecuencia, la complejidad puede ser suficiente para la mayor\u00eda de los entornos. Despu\u00e9s de todo, garantizar que las contrase\u00f1as tengan un alto nivel de complejidad sigue siendo una estrategia v\u00e1lida. Sin embargo, los usuarios finales caen en malas pr\u00e1cticas de seguridad porque la complejidad suele ser demasiado dif\u00edcil de seguir y mantener. <\/p>\n\n\n\n
La raz\u00f3n por la que los usuarios finales prefieren la longitud a la complejidad es que es mucho m\u00e1s f\u00e1cil de seguir. Esto no hace que las contrase\u00f1as sean m\u00e1s largas. mejor <\/em><\/strong> desde un punto de vista objetivo. M\u00e1s bien, depender de contrase\u00f1as m\u00e1s largas suele ser m\u00e1s pr\u00e1ctico para el usuario final est\u00e1ndar. Despu\u00e9s de todo, cuando se reduce a eso, la longitud es solo otro factor de complejidad. Es m\u00e1s f\u00e1cil pensar en una contrase\u00f1a larga, o una frase de paso, que idear un nuevo m\u00e9todo para incorporar n\u00fameros y s\u00edmbolos. <\/p>\n\n\n\n Las pol\u00edticas que se enfocan principalmente en la extensi\u00f3n a menudo optan por el t\u00e9rmino \u00abfrases de paso\u00bb debido al significado literal y representativo detr\u00e1s de \u00e9l. Si le pide a un usuario final que presente una oraci\u00f3n o frase como contrase\u00f1a (incluida la gram\u00e1tica), est\u00e1 imponiendo complejidad sin molestar al usuario. Las frases son f\u00e1ciles de recordar y, t\u00e9cnicamente hablando, son m\u00e1s dif\u00edciles de descifrar. <\/p>\n\n\n\n Por ejemplo, la contrase\u00f1a: Brooklyncooks240pizzasaweek!<\/em><\/strong> es un buen ejemplo que contiene 28 caracteres que es f\u00e1cil de recordar, pero no f\u00e1cil de adivinar. <\/p>\n\n\n\n La edad m\u00ednima de la contrase\u00f1a es un tema confuso para algunos. Antig\u00fcedad m\u00ednima de la contrase\u00f1a significa que los usuarios deben usar su nueva contrase\u00f1a establecida durante al menos una cierta cantidad de tiempo (algunas organizaciones: 24 horas, otras: 6 meses) antes de que puedan restablecer su contrase\u00f1a. Nuevamente, los usuarios son predecibles y, en este caso, los usuarios pueden tener contrase\u00f1as favoritas que les gusta usar, ya sea que les resulte f\u00e1cil de recordar o que crean que su contrase\u00f1a es segura, etc. Sin embargo, despu\u00e9s de usar ‘una contrase\u00f1a favorita’ y tener que restablecerla, no pueden volver a usar la contrase\u00f1a, por lo que se ven obligados a elegir una nueva contrase\u00f1a que no les gusta. <\/p>\n\n\n\n Por lo tanto, muchas empresas tienen una pol\u00edtica de reutilizaci\u00f3n de contrase\u00f1as en la que los usuarios no pueden reutilizar sus dos \u00faltimas contrase\u00f1as, pero esto significa que los usuarios podr\u00e1n usar su contrase\u00f1a favorita eventualmente. Lo que los usuarios terminan haciendo es restablecer su contrase\u00f1a hasta que puedan usar su favorita nuevamente. <\/p>\n\n\n\n La edad m\u00ednima de la contrase\u00f1a resuelve este problema al exigir a los usuarios que usen su contrase\u00f1a durante un cierto per\u00edodo de tiempo antes de cambiarla. <\/p>\n\n\n\n Una b\u00fasqueda r\u00e1pida en Google sobre el cumplimiento de las contrase\u00f1as arrojar\u00e1 una gran cantidad de art\u00edculos sobre requisitos normativos espec\u00edficos, mejores pr\u00e1cticas y est\u00e1ndares de la industria. El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) tiene \u00a040 p\u00e1ginas \u00a0que ofrece recomendaciones y administraci\u00f3n de contrase\u00f1as (borrador NIST 800-18<\/a>), y hay numerosas\u00a0gu\u00edas regulatorias<\/a>\u00a0acerca de SOX, PCI-DSS, HIPAA, GLBA y CJIS y cada uno ofrece sus propios aspectos espec\u00edficos de lo que se requiere para el cumplimiento.\u00a0\u00a0<\/p>\n\n\n\n Las regulaciones son excelentes para establecer las expectativas y las \u00abreglas del camino\u00bb cuando se trata de redactar, implementar e incorporar las mejores pr\u00e1cticas en sus pol\u00edticas y procedimientos, pero a menudo no hacen un buen trabajo para anticipar y reaccionar ante comportamiento humano cuando se trata de cumplimiento y de hacer lo correcto. <\/p>\n\n\n\n Como empresa, puede decidir poner el list\u00f3n muy alto con respecto a sus pol\u00edticas internas, incluida su pol\u00edtica de caducidad de contrase\u00f1a y similares, para asegurarse de que superen f\u00e1cilmente las expectativas reglamentarias. Si bien este enfoque tiene el m\u00e9rito de hacer que todos los auditores de cumplimiento est\u00e9n lo m\u00e1s felices posible, debe ser muy consciente de algunas de las consecuencias no deseadas que puede generar una pol\u00edtica de contrase\u00f1as estricta. <\/p>\n\n\n\n Estas pol\u00edticas de contrase\u00f1as y mejores pr\u00e1cticas son una gu\u00eda, no un grupo de reglas para implementar, y saber lo que quieren sus usuarios lo ayudar\u00e1n a finalizar la pol\u00edtica de contrase\u00f1as seg\u00fan sea necesario. Encontrar el equilibrio entre seguridad y comodidad no es f\u00e1cil, pero tampoco tiene por qu\u00e9 ser dif\u00edcil.\u00a0Pr\u00e1cticas recomendadas de la pol\u00edtica de antig\u00fcedad m\u00ednima de la contrase\u00f1a <\/h3>\n\n\n\n
\u00bfPor qu\u00e9 son necesarias las pol\u00edticas de contrase\u00f1as ? <\/h2>\n\n\n\n
\u00a0
Si mantienes las pautas anteriores al crear tu Pol\u00edtica de contrase\u00f1as, sus usuarios utilizar\u00e1n contrase\u00f1as m\u00e1s seguras, pero en estos d\u00edas, las contrase\u00f1as por s\u00ed solas no son suficientes. Incluso con contrase\u00f1as m\u00e1s largas y complejas, los piratas inform\u00e1ticos encuentran la manera, especialmente a medida que m\u00e1s piratas inform\u00e1ticos adquieren t\u00e9cnicas m\u00e1s complejas que pueden superar los requisitos de seguridad de contrase\u00f1as m\u00e1s estrictos y las mejores pr\u00e1cticas.\u00a0
\u00a0
Si implementas una contrase\u00f1a segura con una soluci\u00f3n de gesti\u00f3n de acceso a la identidad (IAM) flexible y bien integrada, demostrar\u00e1 la facilidad de acceso a los usuarios al tiempo que mejora la infraestructura de ciberseguridad.\u00a0PortalGuard\u00a0<\/a>es la soluci\u00f3n de IAM que le devuelve el control, proporcionando opciones flexibles de inicio de sesi\u00f3n \u00fanico y autenticaci\u00f3n y est\u00e1ndares de contrase\u00f1a que cumplen con sus objetivos de seguridad y brindan una experiencia de usuario optimizada.\u00a0
\u00a0
Obt\u00e9n m\u00e1s informaci\u00f3n sobre la seguridad de las contrase\u00f1as, las mejores pr\u00e1cticas y c\u00f3mo fortalecer su contrase\u00f1a con otros m\u00e9todos de autenticaci\u00f3n.\u00a0aqu\u00ed<\/a>.\u00a0<\/p>\n\n\n\n