¿Qué tan efectiva es la protección con contraseña?
Hace unos años, mientras asistía a una conferencia magistral de LegalTech en Los Ángeles con un distinguido panel de oradores, el consenso parecía ser que era una obligación ética para los abogados ser custodios competentes de información confidencial y que muy pocos de ellos realmente hicieron lo suficiente de un esfuerzo por hacerlo. Este estado de cosas no es exclusivo de los abogados, pero lo que lo hace tan preocupante es que los abogados literalmente saben dónde están enterrados los cuerpos, y a menudo son el objetivo de la aplicación de la ley o la vigilancia gubernamental, incluso más que los periodistas.
Llevar a los abogados al día sobre los conceptos básicos de la tecnología de la información es el primer y más importante paso para convertirlos en custodios competentes de la información confidencial, que es un proceso continuo de educación continua. Esto es algo que he estado tratando de hacer durante los últimos 25 años, y puedo decir honestamente que he tenido un éxito muy limitado más allá de un pequeño grupo de clientes centrales a largo plazo que realmente escuchan mis consejos y hacen un intento. para seguirlo. Aún así, nunca he renunciado por completo a ser el proveedor de información útil y precisa sobre Internet, las computadoras y la seguridad de la información.
- ¿Qué conocimiento humano no está disponible en Internet?
- ¿Cuál es la diferencia entre www y www1?
- ¿Cuál es la mejor empresa de alojamiento web en el Reino Unido?
- ¿Qué es el marketing web?
- ¿Cómo se puede llevar Internet a los países en desarrollo?
Lo que debería ser obvio a estas alturas es que “hablar” con mis clientes sobre la seguridad de la información no es “una y más”. Más bien, la mayoría de los abogados creen que ya son razonablemente competentes para asegurar la información confidencial de sus clientes, por lo que primero debo evaluar los compromisos que mis clientes individuales están dispuestos a asumir para convertirse en mejores custodios de dicha información. Con demasiada frecuencia, esa discusión comienza y termina con la “identificación de los activos de información” que están protegidos con contraseña. Este es un proceso lento pero necesario que a menudo hace que las personas pierdan interés en el panorama general.
Para el registro, la protección con contraseña es mucho más problemática de lo que vale y generalmente brinda la ilusión de seguridad. Lo mismo ocurre con la capa adicional de “preguntas de seguridad” que un usuario autorizado de un activo de información debe responder ocasionalmente cuando se cuestiona su identidad. Cuando los ingenieros sociales y los piratas informáticos han hecho su tarea, y la mayoría de ellos lo han hecho, confiar en tales contramedidas en realidad les da a los ingenieros sociales y a los piratas informáticos la capacidad de penetrar mucho más profundamente en un entorno supuestamente seguro de lo que de otra manera podrían penetrar.
La recuperación de contraseña es una de las puertas traseras más obvias y estándar para ingenieros sociales y hackers. Generalmente implica una cuenta de correo electrónico; También puede involucrar un teléfono celular. A menos que este tipo de activos de información sean totalmente seguros, nada más importa. Para activos de información verdaderamente importantes, la autenticación de dos factores debe pasar por un dispositivo confiable y físicamente seguro. Cualquier cosa menos es como dejar la puerta principal abierta y desbloqueada cuando no hay nadie en casa.
En pocas palabras, los activos de información importantes no deben estar protegidos con contraseña. En la medida en que este sea un nivel de seguridad necesario que le impongan terceros, debe ser un nivel superficial que evite el acceso accidental a información segura. En esta nota, el acceso a los activos de información que no contienen información particularmente sensible no debe asegurarse con una contraseña única y difícil de recordar y / o una serie de preguntas de seguridad personales e invasivas. Puede y debe usar la información más obvia posible cuando se le solicite que lo haga para tales cuentas, proporcionando una distracción para los ingenieros sociales y los piratas informáticos que esperan “obtener los bienes”.
Ver también:
- La respuesta de David F. Prenatt Jr. a, “¿Qué es Internet?”
- La respuesta de David F. Prenatt Jr. a, “¿Por qué una firma de abogados necesita un sitio web?”