Ayer nuestros compañeros de Genbeta nos contaban como el autor del documento de seguridad de referencia en lo que respecta a las políticas de creación de contraseñas y su gestión en las empresas cree estar equivocado. No por obligar a cambiar de clave de acceso cada tres meses y obligar a poner mayúsculas, minúsculas o signos son más seguras. Hay que llegar a un compromiso entre usabilidad y seguridad a la hora de crear una política de contraseñas.
Si se obliga al usuario a introducir todas estas características en su contraseña, evitar que se repitan x caracteres al renovarlas, hace que los empleados acaben por volverse descuidados, que no se acuerden de la clave que pusieron ayer y acaben por apuntarla en una nota adhesiva sobre la pantalla. Al final el efecto que se consigue es el contrario al deseado. En lugar de mejorar la seguridad, se facilita el acceso.
Por eso muchas organizaciones no aplican estas restricciones de políticas de contraseña a la hora de gestionar los accesos de los usuarios. Además hay que tener en cuenta que para muchas de ellas la confidencialidad o la trazabilidad no son esenciales. La posibilidad de que cualquier trabajador acceda al ordenador de un compañero para realizar determinadas tareas está por encima de la privacidad.
De este modo se acaba por crear un patrón para todos los puestos de trabajo, asociado a su número de puesto, de extensión de línea telefónica, etc. Al final, salvo casos puntuales todos saben la contraseña de todos. Esto también tiene el inconveniente de que cuando ocurre algo y se quiere averiguar quién ha borrado un archivo, o modificado un documento, el resultado no será nunca concluyente.
Además recuerdo a un jefe que tuve que al poco de entrar me facilitó sus contraseñas. Sólo vas a poder trabajar más gracias las claves de acceso, recuerdo que me dijo. Y no dejaba de tener razón, dada la relación de confianza que existía en nuestro departamento. Y esta es la relación que existe en la mayoría de las pymes.
Al final todas las restricciones suponen una clave que la mayoría de la gente no puede recordar pero que a la hora de detener un ataque por fuerza bruta, no son tan complicadas para un ordenador. Por eso la tendencia actual se mueve hacia contraseñas más largas, como frases de paso, que sean sencillas de recordar, pero por su longitud complicadas por la cantidad de combinaciones posibles, de adivinar para los ordenadores que intenten un ataque.
En Pymes y Autónomos | Día Mundial de la Contraseña, ¿necesitamos reivindicar mejores prácticas? Imagen | TBIT