Tenemos un problema con las contraseñas en las empresas y aun no sabemos cómo resolverlo
Cada vez que indico a alguien en una empresa que tiene que crear una contraseña y añado que no puede ser la misma que ya utiliza para iniciar sesión en su ordenador surge un problema. "Es que no se que poner", suele ser la respuesta más habitual. Esto no deja de ser un síntoma de algo que ocurre desde hace tiempo, y es que tenemos un problema con las contraseñas en las empresas y aun no sabemos cómo resolverlo.
Las empresas que llevan un control más estricto obligan a cambiar la contraseña de acceso a ordenador y aplicaciones en la nube que utilicen los empleados cada mes. Además suelen tener condicionantes como que incluya mayúsculas, símbolos y una longitud mayor de 8 caracteres, por poner alguna de las más comunes.
A mayor exigencia de complejidad, menos seguridad en la práctica
Si se quiere exigir más se obliga que no se pueda repetir según el patrón de la última. Es decir, si la última que pusimos fue Manolo21?, no podremos poner el mes siguiente Manolo22?. Parece una buena idea no repetir ni crear un patrón, aunque a efectos prácticos no está nada claro que esto contribuya a generar mayor seguridad, puesto que suelen acabar apuntadas en una libreta o en el peor de los casos una nota adhesiva en la propia pantalla.
Si se permite la creación de patrones al final cualquier usuario de la oficina suele conocer la contraseña de acceso de sus compañeros. Esto tiene una parte buena en lo que se refiere a la usabilidad o poder trabajar en otros puestos que no son los habituales. Pero una nefasta en lo que a la trazabilidad se refiere. No sabemos quién ha entrado o ha hecho un cambio en un documento, borrado un dato, etc. Porque sabemos el usuario, pero al ser "públicos" no se puede asegurar quién hizo qué.
Por eso algunos expertos en seguridad prefieren ser menos estrictos en lo que a la complejidad de las contraseñas se refiere. No generar patrones por defecto en las compañías, pero a cambio que las contraseñas se configuren como frases de paso largas. Por ejemplo, mejor que Manolo21? utilizar pablitoclavounclavito, fácil de recordar y lo suficientemente extensa para que sea complicada de adivinar.
De la biometría a las tarjetas de identificación con chip
Lo cierto es que hay que llegar a un compromiso entre usabilidad y seguridad. En este sentido el uso de algo que solo tenga el propio usuario podría ser la solución. La biometría, ya sea un lector de huellas digitales, el uso de tecnologías de reconocimiento facial es una de las soluciones que harían que solo el propio usuario tenga acceso a la información.
Hay otras soluciones, como puede ser una tarjeta criptográfica, similar al DNIe, con un chip que tiene un certificado o la información necesaria para el inicio de sesión. Si la tarjeta está insertada podemos iniciar sesión, si se desconecta al bloquearse el equipo dejamos de tener acceso.
La biometría no es la solución a todos los problemas de las contraseñas, al menos de momento
Ambas soluciones implican disponer de un hardware, lector de huellas, cámara biométrica o lector de tarjeta que por lo general no está disponible en la mayoría de las pymes. Y ponerlo en marcha requiere de una inversión que luego en muchos casos no deja de ser una solución parcial. Sobre todo porque muchas de las aplicaciones que utilizan en su día a día los empleados que también requieren de credenciales de acceso no aceptan el uso de esa huella o esa tarjeta criptográfica. Y al final volvemos de nuevo al usuario y la contraseña.
Por no hablar de que el almacenamiento de estos datos personales biométricos está especialmente protegido por el RGPD. Y en muchos casos existen dudas de los expertos de la obligación de utilizarlos como método de identificación, ya que primer habría que demostrar que otros como el usuario y la contraseña no se han utilizado de forma adecuada por los empleados.
Algo parecido suponen las llaves de seguridad, unas memorias USB especiales que sirven como factor de doble autentificación. Es decir, no basta solo con usuario y contraseña, si no tenemos el USB no accedemos. El problema en este caso sigue siendo que no es una solución universal y multidispositivo.
¿Son los gestores de contraseñas la solución?
Una solución de compromiso pueden ser los gestores de contraseñas. Se trata de programas que con una contraseña maestra, esta es su principal debilidad, nos permiten almacenar contraseñas seguras para diferentes servicios. Los podemos utilizar tanto en PC como en smartphone. Permiten crear credenciales diferentes para cada uno de los lugares donde nos tenemos que identificar.
Podemos crear contraseñas aleatorias sin necesidad de recordarlas, desde un acceso WiFi a la identificación en el inicio de sesión del ordenador del trabajo o de la banca online. La principal debilidad está en que en caso de descubrir nuestra contraseña maestra todas quedan expuestas.
No hay solución, al menos a corto plazo
Con todo esto no existe una solución estándar que reúna las dos condiciones, usabilidad y seguridad. Y sobre todo no existe un modelo que sea exportable entre el ordenador, aplicaciones instaladas, aplicaciones web, etc. Esto suma dificultad a encontrar una solución adecuada para diferentes plataformas y dispositivos.
A esto se suma que muchas empresas no son especialmente celosas de la seguridad y mantienen una política un tanto relajada en este sentido. Si a esto le sumamos que no existe una formación adecuada en riesgos o los peligros para la empresa de tener una mala política en este sentido. Al final el resultado es que aplican los mismos criterios que en su vida personal. De esta manera no es raro que la misma contraseña se utilice para todo o que 123456 o qwerty sean contraseñas habituales.
Imágenes | Schluesseldienst | TheDigitalWay en Pixabay