Contraseñas: redefinir la cultura de seguridad

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Mi primer consejo para cualquiera es practicar una higiene profunda sobre las contraseñas.

La orientación alrededor de contraseñas en el ámbito corporativo ha sido muy pobre, desde siempre.

Algunas personas aconsejan: “Tiene que tener letras mayúsculas y minúsculas, no puede ser una palabra, tiene que ser de 20 caracteres de largo.”

Debido a que la gente no tiene un buen método para hacer frente a los requisitos irrazonables, engañar y sortear y utilizar la misma contraseña para todo.

Mi propio sistema es usar una frase que es fácil para mí para recordar, a continuación, ajustar un poco para cada sitio.

Luego rodeo esa frase con algunos números al principio y otros más al final. Ahora tengo una contraseña muy larga y compleja que es diferente para cada sitio, y tengo un sistema para recordarlo.

Otra solución es usar administradores de contraseñas como LastPass. Es muy fácil. Sólo tienes que recordar una contraseña, pero nunca sabemos si quien coloca esa contraseña es el usuario real, o uno malicioso.

Hoy es reconocida por la industria la necesidad de validar usuarios por doble factor, algunas de las alternativas que maneja el mercado son:

  • OTP por SMS
  • OTP por e-mail
  • OTP por tarjeta de coordenadas
  • Token de traducción CAPTCHA
  • Token software en aplicación móvil con cuatro sistemas de autenticación OATH:
    • OTP basado en tiempo
    • OTP basado en eventos
    • OTP de desafío y respuesta numérico
    • OTP de desafío y respuesta basado en QR
  • Conexión con RSA SecurID y otros sistemas similares
  • Autenticación por certificado digital para cualquier Autoridad de Certificación

En segundo lugar, cada vez que su computadora aparece una ventana que dice que Windows o OS X necesita instalar las actualizaciones, cada vez que haga clic para aplazar ese mensaje en lugar de pasar por la actualización, debe tener conciencia de que acepta ser hackeado.

Muchas de esas actualizaciones incluyen parches de vulnerabilidad importantes, es necesario trabajar en las buenas prácticas y brindar las herramientas para ser más asertivos en la seguridad de los sistemas.

 

Yago Gómez Trenor – Analista de Seguridad de Vintegris