La política de contraseñas óptima, cubre la combinación de los siguientes factores: educación del usuario, historial de contraseñas, sintaxis y bloqueo de la cuenta. Tratamos de concientizar a los usuarios sobre cómo sus contraseñas, el cambio de sintaxis y los procesos de mesa de servicio van de la mano. Dejar alguno de estos significa un riesgo.
A continuación resumimos las disciplinas más importantes en este campo.
Es sumamente importante concientizar a los usuarios que las contraseñas son personales y deben mantenerse seguras. La contraseña no se debe compartir con nadie, incluido el Service Desk, los gerentes u otra persona bajo ninguna circunstancia. La política de la empresa debe educar sobre los canales de comunicación para que los usuarios detecten correos electrónicos de falsa identidad (phishing), phishing messenger o ataques telefónicos.
Las contraseñas corporativas y privadas nunca deben ser iguales ni reutilizarse. Además, tenga una política que informe a los usuarios dónde deben evitar el uso de sus contraseñas. P.ej. Por ningún motivo ingrese la contraseña de su cuenta de Windows en una página web que no tenga “COMPANY.COM” en el dominio.
Una buena práctica es notificar a los usuarios cuando se cambia su contraseña. En estas notificaciones, también es posible recordar a los usuarios las reglas generales.
El estándar de seguridad PCI DSS recomienda una expiración de 90 días, otras personas de seguridad recomiendan 60 días, y NIST sugiere eliminar por completo la expiración de contraseña.
FastPass recomienda 6 meses como vencimiento. Creemos que la caducidad de la contraseña protegerá contra:
Mientras que algunos recomiendan al menos una longitud de contraseña de 12 caracteres, FastPass recomienda una longitud mínima de 10 caracteres. Aunque la longitud en sí no sirve de nada si no existen otros parámetros. Requerir 10 caracteres y el uso de al menos 3 tipos de caracteres especiales garantizará que la contraseña no sea fácilmente vulnerable si se obtiene un hash. Usar 3 tipos de composición está bien. Sin embargo, requerir 4 tipos es aún mejor. Al utilizar 4 tipos recomendamos exigir:
La fuerza bruta no es un problema cuando el bloqueo de cuenta está en su lugar.
El historial de contraseñas garantiza que no se reutilice una contraseña, ya que esto se considera de suma importancia. Un usuario no debería poder reutilizar una contraseña durante varios años. FastPass recomienda una ventana de 3 años. El uso de una herramienta que garantice al menos 2 caracteres de indiferencia de la última contraseña mejorará la seguridad evitando a los usuarios finales que simplemente cambian un número en la contraseña.
Evite las contraseñas más comunes implementando reglas simples para deshacerse de las contraseñas típicas: Password1, Abcde12345, etc. Combine esto con un diccionario personalizado de palabras de la empresa, productos y sucursales.
El bloqueo de cuentas es muy importante para proteger las cuentas de los usuarios. Debe estar habilitado y configurado para mantener a los usuarios fuera durante al menos 30 minutos. El número de intentos antes de ser bloqueado se debe analizar junto con los requisitos de contraseña. Si solo se requiere un cambio de un solo carácter en una contraseña, recomendamos solo 3 intentos antes de ser bloqueada. Si 2 o más caracteres son requeridos, el valor podría aumentarse a 6.
Evitando el restablecimiento manual de la contraseña a través de la mesa de servicio es mucho más seguro cuando elimina esta tarea del personal de la mesa de servicio. Tener un sistema con una alta tasa de registro es la clave para que el autoservicio sea exitoso.
Otro lugar donde se debe implementar la seguridad, es al ponerse en contacto con la mesa de servicio cuando se solicita una nueva contraseña. Con la ingeniería social en aumento, vemos esto como un área clave para mejorar. Los puntos clave son:
En Timware creemos que seguir los procesos anteriores hace que la política de contraseñas funcione y mantenga sus contraseñas seguras. Al revisar nuestras recomendaciones, recuerde que todos los puntos anteriores deben implementarse juntos para que una política tenga éxito. Las contraseñas son excelentes para la autenticación, son baratas, fáciles de manejar y seguras cuando se tratan correctamente. Tenga en cuenta que no es necesario que la misma política de contraseñas se aplique a todos los usuarios. Es posible que un usuario final que solo tenga acceso al correo electrónico no tenga que estar a la altura de un usuario financiero.
Uno de los problemas que derivan de implementar políticas de seguridad tan complejas en los passwords, es que invariablemente se van a aumentar los tickets hacia las mesas de soporte para reiniciar o restablecer passwords por olvido. Con TIMWare Pass, es posible aumentar la seguridad y la productividad ya que permite que cada usuario pueda restablecer su contraseña de forma autónoma, eliminando tiempo perdido para personal de soporte y para el mismo usuario en lo que espera a que le resuelvan el ticket.