Categories: EmpresasSeguridad

¿Se debería forzar a los usuarios a cambiar sus contraseñas?

Los seis millones de contraseñas robadas el pasado mes de junio en LinkedIn, pusieron una vez más en primera plana la seguridad de las mismas. Y es que a pesar de que una de las prácticas más recomendadas por los CSOs para evitar situaciones como la que afectó a esta red social, es forzar a los usuarios a cambiar sus contraseñas cada 60 o 90 días como máximo, esta medida es entendida como “demasiado restrictiva” por muchos de ellos. Ahora bien, ¿es este el único remedio eficaz?

El objetivo de un acceso autenticado es asegurar que sólo la persona autorizada puede alcanzar un recurso particular. Igualmente, el propósito de modificar la contraseña de un usuario cada 90 días es restringir la oportunidad de piratear la propia identidad, ya que está comprobado que un programa bien desarrollado puede adivinar una contraseña –a partir de su valor ‘hash’- en cuestión de minutos.

Sin embargo, la persona puede llegar a sentirse arrinconado por tener que modificar continuamente su contraseña, y esto le puede llevar a adoptar contramedidas poco recomendables como, la elección de passwords más fáciles de memorizar, o su escritura sobre los ya conocidos y notorios “Post-it”. Por tanto, es evidente que imponiendo el cambio de contraseñas como medida a adoptar, sólo se  crearía una falsa ilusión de seguridad, por no decir que se generaría un riesgo adicional.

¿Debemos por lo tanto concluir que nuestros CSOs son un grupo de sádicos, cuyo único objetivo es vengarse de los usuarios que no los entienden? Aunque así fuera, es una medida ampliamente adoptada. De hecho, ésta, a menudo se enmarca en lo alto de la pirámide respecto a las necesidades del manejo de identidades y sólo sería beneficiosa si se realizará junto con otras acciones.

Lo básico es lo primero

Es difícil entender cómo la seguridad se puede mejorar si un usuario puede utilizar “password1”, “password2” y así sucesivamente cada trimestre, e ir simplemente incrementando el número al final de la contraseña. En este sentido, se debe exigir a los interesados un mínimo esfuerzo a la hora de modificar sus contraseñas, además de cumplir con unas cuantas reglas básicas como, el cambio de la contraseña por defecto, a partir de la primera vez que se utilice, o la prohibición en el uso de contraseñas cortas: un mínimo de 10 caracteres –16 según la ANSSI- sería lo correcto. De igual manera, es aconsejable optar por la diversidad en cuanto a los caracteres, entremezclando letras mayúsculas y minúsculas, números y grafías especiales.

Desgraciadamente, la caja de Pandora de la administración de contraseñas está llena de sorpresas. Así que, antes de establecer una política restrictiva en este sentido, es importante que el CSO defina un plan de comunicación en el que se permita a los usuarios entender mejor las implicaciones, utilizando ejemplos de casos recientes como el de LinkedIn para ello. Asimismo, puede ponerse de relieve, en particular, la debilidad de las contraseñas que se encuentran en estas bases de datos, o explicar los beneficios de una contraseña fuerte y probarlo. Adicionalmente, es aconsejable indicar uno o varios métodos para generar contraseñas fuertes, recomendar herramientas de gestión (1Password, KeePass, etc.) o invertir en elementos de seguridad para las cuentas más sensibles.

¿Cambiar o no cambiar?

Si siguiéramos todas las “Best practices” a la carta, entre ellas cambiar regularmente la contraseña, mejoraríamos la seguridad, y podríamos aumentar y atraer la atención sobre su importancia, y, con el tiempo,  limitaríamos los riesgos relacionados con las fugas de información. Sin embargo, sólo podemos aplicar esta restricción a los usuarios que tienen acceso a datos sensibles y que son, a su vez, capaces de entender los motivos que hay detrás de cada una de las restricciones impuestas.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago