GESTIONA LAS CONTRASEÑAS
Un elemento indispensable para llevar a cabo un plan de contingencia o continuidad de negocio que nos permita minimizar el impacto de ciberataques es una matriz de riesgos.
Al igual que restringimos el acceso a nuestras oficinas al personal autorizado, debemos implementar mecanismos de control y acceso a la información o la infraestructura de la empresa mediante la solicitud de contraseñas. Sin embargo, una mala política en la gestión de estas contraseñas llevará a un nulo efecto en la utilización de las mismas. Haciendo un símil muy básico: las contraseñas son las llaves de nuestro castillo, si las perdemos da igual cómo de seguro sea lo demás.
A continuación, se detallan algunas recomendaciones básicas para garantizar el buen recaudo y la robustez de las contraseñas:
1
Las contraseñas deben ser alfanuméricas, tener una extensión mínima de 8 caracteres e incluir algún carácter especial (Por ejemplo:¡@_). De este modo se dificultarán los ataques de fuerza bruta.
2
Las contraseñas no deberán ser palabras cotidianas ni combinaciones de ellas. De este modo se dificultarán los ataques de diccionario. (Por ejemplo: perro)
3
Las contraseñas no deberán ser una sucesión de números y letras ni posiciones del teclado (por ejemplo: 111222333, qwerty)
4
Las contraseñas no deben contener información personal como fechas de nacimiento, nombres de familiares, etc. Este tipo de información es fácilmente obtenible utilizando ingeniería social y, por ejemplo, navegando las redes sociales.
5
Las contraseñas deberán expirar al menos una vez al año y deberán mantener un historial de las últimas contraseñas utilizadas para evitar que, al expirar, estas sean repetidas.
6
No se reutilizarán contraseñas corporativas con propósitos personales. En muchas ocasiones el compromiso de credenciales de acceso en plataformas de terceros a priori no relacionadas con nuestra empresa, debido a la tendencia a la reutilización de las mismas en varios entornos, puede permitir el acceso a nuestra PYME.
7
Las contraseñas no serán anotadas a la vista en ningún post-it o documento que pueda ser accedido por terceros no autorizados. En un día normal en unas oficinas varias personas ajenas a la compañía pueden llegar a acceder a las mismas: clientes, proveedores, etc. De estar visibles las contraseñas, estas podrían ser robadas para llevar a cabo ataques posteriores.
8
Las contraseñas no deberán ser almacenadas en claro por el sistema de recaudo de contraseñas. En el caso del robo de contraseñas por un acceso no autorizado de un tercero, estas deberán ser indescifrables e inútiles para cualquier persona.
TRUCOS PARA CREAR UNA CONTRASEÑA SEGURA DE MANERA SENCILLA
A continuación, se muestran 2 trucos para poder cumplir con todos los requisitos anteriormente mencionados sin necesidad de una mente privilegiada y sin tener la misma contraseña para todos nuestros accesos.
- Crea una frase que puedas recordar fácilmente y construye la contraseña con la primera letra de cada palabra. Por ejemplo: “Mi boda fue el 22 de Febrero de 1995.” la contraseña sería: “Mbfe2dFd1.”
- Crea una regla (o algoritmo) y aplícala a todos los accesos. Por ejemplo: un punto al principio+ el día de nacimiento + el nombre del sitio al que queremos acceder (con minúsculas las vocales y mayúsculas las consonantes) +el mes de mi nacimiento + una @ al final. ¿Parece difícil? Veamos un caso práctico para entender que no lo es.
