En muchas ocasiones son la única medida de seguridad de los sistemas. Implementar una política de contraseñas es uno de los puntos clave para proteger la información de tu empresa.
Cada año se celebra el Día Mundial de las Contraseñas el primer jueves del mes de mayo. Hoy, 5 de mayo de 2022, ponemos en el foco la importancia de hacer un uso adecuado de esta medida de autenticación para no comprometer la seguridad de la empresa.
Las contraseñas muchas veces no cuentan con toda la atención que deberían, lo que es un grave error que puede poner en jaque a la empresa. En muchas ocasiones son la única medida de seguridad con la que cuentan las herramientas y servicios corporativos, como el backend de la página web corporativa, los perfiles de redes sociales o el correo electrónico. Uno de los errores más habituales que se comenten en el uso y gestión de las contraseñas es utilizar un clave débil, a esto se le añade que muchas veces esa clave débil es utilizada además en varios servicios. Estas prácticas son un grave riesgo para la seguridad de la empresa y también para su reputación. A continuación se describen varias técnicas esenciales a aplicar que pueden evitar el robo de contraseñas:
- No hacer uso del recordatorio de contraseñas, ya sea solicitado en navegadores web o aplicaciones.
- No utilizar contraseñas por defecto.
- No compartirlas con nadie.
- No utilizar la misma contraseña para servicios diferentes.
- Se evitará que los ciberdelincuentes, si consiguen una de ellas, cuenten con una «llave maestra» de acceso a todos los servicios corporativos. Tampoco se utilizarán las mismas contraseñas para uso profesional y doméstico.
- Incorporar doble factor para servicios o apps críticas.
- Outlook, Dropbox, Google, Paypal, acceso a métodos de pago, cuentas de bancos… Cada vez es más frecuente que los servicios sugieran que utilicemos mecanismos de doble factor, es decir, que combinen «algo que sabes»(una contraseña o PIN) con «algo que eres»(huella, reconocimiento facial, iris, voz) o «algo que tienes»(un token USB o una tarjeta de coordenadas).
- Cambiar periódicamente las contraseñas.
- Utilizar gestores de contraseñas (ya sean basados en la nube o dependan de la empresa).
- Generar contraseñas fuertes.
¿Cómo crear una contraseña fuerte?
- En primer lugar, que sea larga, al menos 8 caracteres, pero preferiblemente más larga. Un ordenador puede romper una contraseña de 8 caracteres en pocas horas, y si tiene menos, en 1 minuto.
- Fácil de recordar. Es una buena práctica utilizar reglas mnemotécnicas o inventar un sistema propio.
- Única. Crea una nueva contraseña para cada servicio que utilizas. De este modo, si una se filtra, no tendrás que cambiarlas todas. Y para evitar tener que recordar muchas contraseñas e iniciar sesión cada vez, utiliza un gestor de contraseñas.
- Utilizar una buena mezcla de caracteres. Utilizando mayúsculas y minúsculas, números y símbolos especiales, la contraseña será menos predecible y más difícil de crackear.
Para que nuestras contraseñas sean fuertes, difíciles de adivinar o calcular, debemos cumplir las siguientes directrices:
- No deben contener los siguientes tipos de palabras:
- palabras sencillas en cualquier idioma (palabras de diccionarios)
- nombres propios, fechas, lugares o datos de carácter personal
- palabras que estén formadas por caracteres próximos en el teclado
- palabras excesivamente cortas
- No utilizar claves formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento)
- Establecer contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas
- En el caso de utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras) también se tendrá en cuenta lo expuesto en los puntos anteriores también.
El siguiente botón contiene un link al servicio Password Checker de Kaspersky, con la que se puede comprobar si una contraseña puede ser averiguada mediante un ataque de fuerza bruta o se encuentra en una base de datos de contraseñas filtradas, sin almacenarla ni recopilarla.
