Recientemente leí un gran ensayo del muy estimado Bruce Schneier. Aquí hay un enlace: Diseño de seguridad: deje de intentar arreglar al usuario
Él hace un par de puntos convincentes, con suerte de una manera más convincente de lo que he podido hacer, ya que he luchado esencialmente esta misma batalla durante décadas:
Hacer que los usuarios cambien las contraseñas por algo complejo y fácil de recordar o que no reutilicen las contraseñas es simplemente estúpido .
- ¿Es la estrategia de seguridad en línea de una empresa responsabilidad del CTO o CIO?
- Cómo proteger los archivos de mi computadora
- Cómo recuperar mi cuenta de Twitter pirateada
- Dada una computadora comprometida, ¿podría ocultar un troyano en una unidad USB y hacer que se extraiga automáticamente cada vez que la unidad se inserta en otro lugar?
- ¿Qué son las banderas rojas para el phishing?
Si tengo una cuenta, digamos … la oficina del asesor fiscal del condado, que uso exactamente una vez al año, cuando pago mis impuestos a la propiedad, no quiero tener que recordar qué demonios fue hace un año. o peor, ser golpeado para cambiarlo tan pronto como aparezca “porque ha pasado demasiado tiempo desde la última vez que lo usé”. Solo quiero iniciar sesión, hacer lo mío y volver a lo que estaba haciendo anteriormente.
Pero un imbécil de seguridad decidió que, porque tenía que demostrar que estaba HACIENDO algo, que tenía que haber una política de seguridad, que debía ser “fuerte” y que era necesario cambiar las contraseñas con frecuencia. Y eso es solo porque estaba personalmente asustado, ya que la vida como profesional de seguridad está llena de peligros, porque es realmente MUY difícil convencer a su gerencia de que “hizo algo” cuando lo que hizo fue evitar que las cosas sucedieran. Puedes ver las cosas de “hice algo”; no puedes ver las cosas que nunca sucedieron …
Esto es solo el comportamiento de “culpar a la víctima”, perpetuado por profesionales que intentan justificar su existencia en un mundo en el que AHORA deberíamos haber descubierto que ofrecer seguridad de alto grado fácil de usar es solo un costo de hacer negocios, y recibir un presupuesto y personal adecuados y, lo más importante, poder de entrada y de veto sobre aspectos críticos del diseño a medida que se van construyendo.
Por supuesto, eso tiene un costo, ya que la mayoría de los expertos en seguridad son piratas informáticos, perpetúan lo que han visto y en realidad no ofrecen soluciones reales y utilizables. En cambio, perpetúan mitologías rotas como “necesita mayúsculas, minúsculas, números y símbolos para ser una buena contraseña” (mito; el hecho es que cuatro palabras completamente no relacionadas que se usan como una frase hacen que su contraseña sea más de 10000x más fuerte que eso), o ideas como “necesita cambiar su contraseña cada 60 días” (mito; el hecho es que es relevante debido al diseño de mierda de la mayoría de los sistemas de contraseña y al hecho de que estadísticamente es probable que se hayan visto comprometidos en cualquier intervalo de 60 días) o otro sin sentido.
Lo que necesitamos es capacitación real, seguridad por diseño, seguridad desde cero, experiencia de usuario integrada de seguridad, y casi nadie lo está haciendo.
Datos biométricos, no confiables (ver TAPS – Etiqueta adhesiva de pantalla táctil con Touch ID en Kickstarter. Idea increíble, pero ¿qué pasa si les envío su huella digital?) Autenticación multifactor? Mejor, pero aún puede verse comprometido (este artículo Los atacantes golpean puntos débiles en la autenticación de 2 factores de Krebs tienen más de cuatro años y los problemas aún persisten).
Entonces, ¿cuál es la solución?
Si supiera eso, lo estaría HACIENDO , no escribiendo sobre eso. Joder, quién sabe, tal vez lo haga. Pero esa es una barra lateral completa.
El punto real es este: las compañías que requieren que usted tenga contraseñas construidas de cierta manera, o que las cambie con cierta frecuencia, están reparando sus propias deficiencias al imponerle requisitos onerosos a usted, su cliente. Y deberían hacer lo contrario, inclinarse hacia atrás para que la vida sea lo más fácil y fácil posible.
En cuanto a dónde pones tus prioridades en las contraseñas, hubo un artículo a principios de año, Las razones psicológicas detrás de las prácticas de contraseñas arriesgadas, que golpearon partes de eso. Ellos afirman (con lo que estoy de acuerdo) que si usted es “pirateado” es una función de su personalidad y comportamiento; cómo (que solo se aplica si cruzas el umbral “si”) es una función de cómo priorizas tu elección de contraseña.
La verdadera “solución” es algo diferente. Ni siquiera necesita saber su contraseña. Como a cualquier cosa. Es útil si te están interrogando también. Solo usa algo como 1Password o LastPass. Yo uso ambos, ambos tienen ventajas y desventajas.
Cree entradas para las cosas en las que inicie sesión a través de Internet, haga que el programa cree la contraseña por usted, y cuando necesite iniciar sesión, todo lo que tiene que hacer es recordar la contraseña maestra, y ya está. Y si usted Estás en un dispositivo iOS, puede ser un deslizamiento del pulgar, no una contraseña.
En ese momento, puede dejar de preocuparse por las contraseñas por completo. Aparte del uno.