RSS contraseñas

Seguridad vs. usabilidad es uno de los grandes debates de nuestro tiempo. Cada vez tenemos más contraseñas, accedemos a más lugares que requieren unas credenciales, servicios online, financieros, etc. También en la empresa. Por eso muchos acaban anotando las contraseñas en un bloc de notas en el ordenador, lo que supone un grave error.

No tengo nada en contra de este tipo de gestión, lo que no acaba de convencerme es el modelo digital. Si vamos a guardar las contraseñas en claro, sin cifrar, estarán mucho más seguras si tenemos una libreta en un cajón de nuestra mesa que si están en un bloc de notas dentro del propio ordenador, como afirman muchos expertos en seguridad. Porque un fallo de seguridad puede hacer que un atacante se haga con todas ellas.

Ayer nuestros compañeros de Genbeta nos contaban como el autor del documento de seguridad de referencia en lo que respecta a las políticas de creación de contraseñas y su gestión en las empresas cree estar equivocado. No por obligar a cambiar de clave de acceso cada tres meses y obligar a poner mayúsculas, minúsculas o signos son más seguras. Hay que llegar a un compromiso entre usabilidad y seguridad a la hora de crear una política de contraseñas.

Si se obliga al usuario a introducir todas estas características en su contraseña, evitar que se repitan x caracteres al renovarlas, hace que los empleados acaben por volverse descuidados, que no se acuerden de la clave que pusieron ayer y acaben por apuntarla en una nota adhesiva sobre la pantalla. Al final el efecto que se consigue es el contrario al deseado. En lugar de mejorar la seguridad, se facilita el acceso.

Hoy en día las políticas de seguridad están en el punto de mira de muchas empresas. La empresa hoy en día esta conectada y no basta sólo con un antivirus o un cortafuego. Es necesario implantar una cultura de la seguridad informática en las organizaciones. Y empezar por las contraseñas es un buen paso.

¿Hace cuánto que no cambias tus contraseñas? Responder a esta pregunta debería ser sencillo, pero si no lo recuerdas está claro que es necesario hacerlo. Y no nos referimos solo al accedo de inicio de sesión en el ordenador, sino también a todos estos servicios que utilizamos a través de Internet que también pueden suponer un problema.

Mañana es el día Mundial de la Contraseña un buen momento para recordar a los usuarios la necesidad de salvaguardar sus credenciales de acceso a los diferentes servicios. Si hacemos caso a las estadísticas que suelen aparecer cada año, lo cierto es que no aprendemos la lección a la hora de crear claves seguras.

Lo cierto es que cada día manejamos un número mayor de contraseñas, con una media de 17 por usuario. Y esto sin tener en cuenta la cantidad de servicios en los que nos identificamos con nuestras cuentas de redes sociales o de correo electrónico. Trabajar sólo con la contraseña es insuficiente, por eso es imprescindible activar la verificación en dos pasos siempre que sea posible.

No es raro que en muchas empresas se vea el usuario y la contraseña de acceso al ordenador pegado en una nota adhesiva en la pantalla del mismo. Esto llevado al mundo de la nube y los accesos desde Internet se traduce en contraseñas muy sencillas y fáciles de adivinar tipo 123456. Ambas prácticas ponen en riesgo la seguridad de la empresa, de sus datos y del acceso a la información.

Tradicionalmente en la empresa se ha apostado por una protección perimetral, es decir, se protegía el acceso desde el exterior a los equipos de la empresa, tanto a nivel informático como físico. De esta forma tener un pos-it con la contraseña pegada no parecía un grave problema. La cuestión es que esta laxitud en la seguridad la estamos llevando también a la nube, y hoy en día la protección perimetral no tiene tanto sentido, ya que se necesita acceder desde cualquier lugar o dispositivo para trabajar.

Las contraseñas en la empresa son un problema. Si tenemos una política de seguridad que obligue a cambiarla cada mes y no poder repetir las anteriores, incluir mayúsculas o minúsculas, etc. muchos usuarios se sienten incómodos. Al final acaban registrando todas las contraseñas en una hoja de cálculo dentro del equipo, cuando lo cierto es que las contraseñas están más seguras en la agenda de papel que en una hoja en el escritorio de tu equipo.

Si no podemos acordarnos de todas las contraseñas y no utilizamos un gestor de contraseñas para que nos guarde todas las que necesitamos para acceder, no ya sólo al ordenador, sino a múltiples sitios web, correo electrónico, etc. lo mejor es tenerlas anotadas, pero no como un documento digital.

Una de las medidas de seguridad más utilizadas en todo lo que tiene que ver con el universo digital son las contraseñas. Aprender a administrarlas puede ser un problema ya que cada vez las utilizamos en más servicios. Por eso muchos usuarios acaban por poner siempre la misma para todo. Esto supone un grave riesgo, ya que si se descubre todos los servicios quedarán expuestos. Por eso al menos una vez al año es conveniente renovar nuestras contraseñas de acceso a nuestro ordenador o servicios web.

Por lo que se refiere al ordenador, en muchos casos se obliga al usuario a cambiar la contraseña cada mes, con restricciones que obligan a no repetir o que no coincidan con las anteriores, de manera que siempre van cambiando. No ocurre así con los servicios web o el correo electrónico, por lo que es recomendable imponernos una nueva clave.

No son ninguna broma. La gestión de las contraseñas en servicios webs y dispositivos informáticos en la empresa supone un capítulo importante en materia de seguridad. Sin embargo, a tenor de los resultados de numerosos estudios no es algo que se tome demasiado en serio en las empresas. El último lo han dado a conocer los compañeros de Tecnología Pyme y confirma algo: se sigue sin aprender la lección.

Ese último estudio, elaborado por la empresa Splashdata, ofrece un resultado similar al que se obtuvo tras el ataque informático que sufrió compañía Adobe, por el que se publicaron los datos de 150 millones de usuarios. Nuevamente, la contraseña más utilizada en la red es 123456.

Cada día, desde que nos levantamos, tenemos que usar contraseñas y claves para infinidad de procesos como claves de acceso a nuestras páginas personales de los bancos, correo electrónico, firma electrónica, acceso telefónico a multitud de servicios. Toda empresa tiene multitud de contraseñas para cualquier acceso o proceso.

Lógicamente, y lo más usual es que cada uno de nosotros utilicemos una o dos para todos los procesos que enumero. En primer lugar, sólo pensamos su facilidad para recordarla, por lo que solemos recurrir a fechas, nombres conocidos o cosas así. Tanta lógica, genera que tengamos nuestros accesos personales sumamente desprotegidos.

Las premisas básicas que enumeran para hacer una contraseña segura son las siguientes:

• Longitud; dado que se recomienda que no sea excesivamente corta
• Originalidad; evitando nombres comunes, de familiares...
• Repetición de caracteres; contraseñas tipo 0000 o similares son las primeras que se prueban. Se deben desechar.
• Uso de dígitos con la intercalando mayúsculas y minúsculas. Complica su craqueo o pirateo.
• Uso de signos de exclamación, puntuación o carácteres poco usuales.