Como profesional de seguridad, me encuentro con esta pregunta a menudo. A veces incluso me encuentro frustrado con políticas de contraseña específicas.
Las posibles desventajas de una política de contraseña estricta son que los usuarios no se adherirán a la política y quedarán bloqueados. Se sentirán frustrados con el mantenimiento de múltiples contraseñas complejas. Almacenarán la contraseña utilizando un método inseguro o intentarán evadir todo el proceso.
Esto realmente sucede a menudo. El usuario final ignorará la política o la mitigará de una manera que la haga menos efectiva.
- ¿Cómo se puede estar seguro de que un correo electrónico recibido se envía de hecho desde el remitente citado en el encabezado del correo electrónico?
- ¿Cuáles son los elementos esenciales clave para la seguridad cibernética?
- Cómo evitar que se piratee una cuenta de fb cuando un hacker utiliza la técnica de spyware
- ¿Es esencial una certificación CCNA (redes y enrutamiento) para una carrera de seguridad de la información?
- ¿Qué es la autenticación en dos etapas?
Por esta razón, una política de contraseña estricta, o CUALQUIER política de contraseña para ese asunto, debe requerir y siempre incluir capacitación. Esta debe ser una capacitación obligatoria sobre su política corporativa que forma parte de su código de conducta comercial.
La capacitación debe ser simple, generalmente en formato de video y debe proporcionar ejemplos de contraseñas incorrectas, contraseñas buenas y el peligro y el costo asociado a la empresa si se produce una violación. También debe incluir una PRUEBA requerida una vez completada. Dales intentos ilimitados, pero DEBEN pasarlo para obtener acceso.
Un hallazgo común es que si se implementan procedimientos de política de contraseña estrictamente incorrectos, puede tener el efecto contrario y hacer que todos estén menos seguros.
Por ejemplo, si requiere que las contraseñas complejas sean largas, no incluya palabras del diccionario y requiera mayúsculas y minúsculas, así como símbolos, ¿muchos usuarios harán qué? Escríbelo en algún lugar.
Al escribir la contraseña, el usuario acaba de crear un token. No hay nada de malo en escribirlo, pero la seguridad de esa nota o papel podría verse comprometida si, por ejemplo, se coloca en la billetera o cartera de alguien y ese objeto es robado.
Si estudia Seguridad, Hacking Ético o CISSP, encontrará que esto no es en realidad una política de seguridad sino controles de seguridad. Esa parte se vuelve un poco compleja, pero incluye seguridad física y auditoría.
Actualmente, los estándares de contraseña son cada vez más complejos. No debe usar la misma contraseña para varias cuentas. No debe acceder a otros sitios como Facebook, Google o Linkedin. Las contraseñas deben caducar y deben cambiarse regularmente. No deben incluir datos personales. Tampoco deben basarse en palabras del diccionario.
Idealmente, las contraseñas deben tener unos 15 caracteres de longitud, alfanuméricas con símbolos. Suena horrible verdad? Eso es lo que dice el usuario.
La clave está en la política, Crear una oración pero no usar palabras del diccionario reemplazar aquellas con símbolos y números. Eso todavía puede ser débil, pero al menos le das al usuario algo para recordar que es lógico y posible.
Idealmente, un mecanismo robusto de inicio de sesión único con procesos multicapa es ideal. El cifrado complejo también es una buena idea.
La contraseña tampoco debe ser la última línea de defensa.
Los nuevos datos biométricos son agradables, pero una vez más, los datos también pueden verse comprometidos, pero al menos no a nivel de usuario.
Por lo tanto, las ventajas son mayores que las desventajas SI, usted tiene una política de seguridad clara que INCLUYE capacitación y un código de conducta comercial requerido.
La seguridad y la convicción nunca vendrán de la mano. A medida que vemos más y más amenazas e infracciones, será necesario contrarrestar eso con medidas adicionales. En realidad ya estamos atrasados.
Espero que eso ayude.
He estado en seguridad de TI durante más de 20 años, soy auditor CEHv8, CPT, PM, IM, ISO 9001 y TL9000 y algunas otras cosas. Trabajo para una de las mayores empresas de TI a nivel mundial y la seguridad es parte de nuestro enfoque principal.
