Cybersecurity and digital privacy

Ayude a sus empleados a convertir las contraseñas seguras en un hábito

Astraed

6 min read
Ayude a sus empleados a convertir las contraseñas seguras en un hábito

por Luke Bencie

Resumen:

La seguridad de las contraseñas es una de las principales preocupaciones de las empresas y uno de los mayores desafíos es lograr que los empleados utilicen una mejor higiene de las contraseñas. Para reforzar la seguridad, necesita encontrar prácticas que sus empleados utilicen realmente. Para facilitar las cosas, considere la posibilidad de compartir estas cinco recomendaciones para ayudarlos a encontrar las prácticas de seguridad adecuadas en cualquier situación: 1) utilice una contraseña desechable, 2) utilice una frase de contraseña, 3) utilice una frase de contraseña que utilice un patrón, 4) utilice una frase de contraseña con autenticación de dos factores, 5) utilice un software de gestión de contraseñas con autenticación de dos factores.

___

«Utilice una contraseña segura» es «ponerse protector solar» del mundo digital: todo el mundo sabe que es un buen consejo, pero muy pocas personas lo siguen. En cambio, se apoyan en las contraseñas de referencia que son fáciles de recordar, y ponen ese «!» al final de su palabra secreta o poniendo «@» en lugar de la letra «a». (No es por nada que «P @ssword!» es la contraseña más popular.) Nada de esto, por supuesto, disminuye las apuestas de una infracción para la mayoría de las empresas. La incómoda verdad es que la seguridad de las contraseñas sigue siendo una preocupación común e infravalorada. Y para las empresas, uno de los mayores desafíos a la hora de reforzar su seguridad es lograr que los empleados practiquen una mejor higiene de las contraseñas.

El problema aquí es que la naturaleza humana es complicada. No se trata solo de que los usuarios no quieran gastar una valiosa energía cognitiva en recordar contraseñas únicas y complejas de cada cuenta. A menudo, tratan de evitar los sentimientos de frustración que acompañan a su incapacidad para recordar fácilmente la información. Las contraseñas simples y conocidas siempre triunfan sobre las complejas y seguras. Lamentablemente, el factor humano de la seguridad de las contraseñas se reduce a lo que es fácil más que a lo que es seguro. Que los dioses de las contraseñas nos perdonen.

Hemos visto cómo se desarrolla esto. A pesar de conocer los riesgos de las contraseñas débiles, que son vulnerables a ataques de fuerza bruta, y al repetir las contraseñas, la gente hace las dos cosas una y otra vez. Según un Encuesta de Google de 2019, más del 52% de los usuarios admiten haber reutilizado las contraseñas y aproximadamente el 13% admite usar una contraseña en todas las cuentas. Al mismo tiempo, el 68% de los usuarios de contraseñas admiten que reutilizan las credenciales porque temen olvidarlas y el 36% no considera que sus cuentas sean lo suficientemente valiosas como para necesitar medidas de seguridad más estrictas.

Entonces, ¿qué pueden hacer las empresas? La buena noticia es que no se trata de elegir entre la seguridad estándar o nada en absoluto. En cambio, las empresas necesitan encontrar el enfoque que mejor funcione para sus empleados y que los empleados sigan realmente. Estas son cinco recomendaciones que los gerentes y los departamentos de IT pueden compartir con los empleados y los equipos para ayudarlos a encontrar (y utilizar) el nivel de protección adecuado para cualquier situación.

Nivel uno: La contraseña desechable

Una contraseña desechable es la que se utiliza con una dirección de correo electrónico desechable. Si alguna vez ha creado una dirección de correo electrónico descargada para utilizar una prueba gratuita, la idea es prácticamente la misma. Estas cuentas de un solo uso son especialmente útiles si sabe que se suscribirá inmediatamente a un sinfín de correos electrónicos de ventas poco apreciados durante el resto de la vida útil de la cuenta (al diablo con los botones de «anular la suscripción»). Las contraseñas sin importancia de estas cuentas triviales protegen en su insignificancia. Si (cuando) se roban estas contraseñas o se hackean estas cuentas, no se pierde información ni contraseñas importantes. Este robo no pondrá en riesgo ninguna cuenta o contraseña crítica.

Para estas cuentas, puede utilizar una contraseña tan simple como una palabra, unas cuantas letras y un carácter especial. Por ejemplo: ¡Frodo123! Pero no vuelva a utilizar esta contraseña con cualquier otra cuenta de correo electrónico. Reutilizar una contraseña simple en varias plataformas puede ser el beso de la muerte.

Nivel dos: frase de contraseña

Contraseñas de cuatro o cinco caracteres, independientemente de la combinación de números, letras o símbolos, son igualmente vulnerables. Por eso los expertos recomiendan ahora una contraseña de al menos 12 caracteres. El problema es que a nadie le gusta recordar un montón de contraseñas largas y complicadas. Aquí es donde entran en juego las frases de contraseña.

Una frase de contraseña es más larga que una contraseña simple de una palabra, pero es fácil de recordar. La mayoría de nosotros deberíamos usar frases de contraseña en lugar de palabras para aumentar la longitud de los caracteres, pero no deberían ser algo tan simple como las letras de las canciones (los hackers profesionales llevan años utilizando esta táctica). Usar «cada vez que respira», «vaya, lo he hecho de nuevo» o «Tengo una sensación» prácticamente es pedir que lo hackeen. He aquí un ejemplo mejor, que podría aplicarse más a los miembros de la generación X: In1984vanh @lenRock $! Aunque estas contraseñas no son el estándar de referencia para una buena gestión de contraseñas, son útiles para quienes no utilizan habitualmente la buena higiene de contraseñas descrita en los niveles más altos de protección en línea.

Nivel tres: frase de contraseña que utiliza un patrón

Se trata de una contraseña que se puede incorporar en diferentes plataformas, pero es simplemente lo suficientemente diferente como para permitir que esa contraseña no se utilice dos veces. Por ejemplo, si tiene varias cuentas en redes sociales, puede utilizar una palabra con un color (y un patrón de números o caracteres único) en esas cuentas. Por ejemplo: Instagram — UrRed! @7am y 20 h, Facebook — ¡UrWhite! @7am y 20 h, LinkedIn — ¡UrBlue! @7am y 20 h.

Una advertencia: he trabajado en organizaciones que exigían que se cambiaran las contraseñas cada 90 días. En este caso, he visto a personas utilizar las cuatro estaciones para cumplir con los horarios de actualización requeridos. Por ejemplo: «¡Primavera de 2023! », «¡Verano de 2023! », «¡Otoño de 2023! », «¡Invierno de 2023.» De nuevo, un hacker profesional podrá descifrar este código en menos de un minuto. Utilice una combinación que sea específica para usted, y solo para usted (¡y deje de usar «!» tanto, intente usar «+» u otro símbolo menos común).

Nivel cuatro: una frase de contraseña con autenticación de dos factores

Se recomienda la autenticación de dos factores para las cuentas de inicio de sesión más confidenciales, como las de información bancaria, correos electrónicos del trabajo y uso compartido de archivos. Puede basarse en un texto de confirmación, un correo electrónico, un dato biométrico o un token, ya sea un mando físico o un sistema de autenticación como Google Authenticator. Al incorporar la autenticación de dos factores junto con una contraseña compleja, minimiza en gran medida las probabilidades de que lo hackeen. Si bien no es perfecta, la autenticación de dos factores proporciona al usuario algo que cualquier profesional de la seguridad le dirá que es valioso: hace que sea un objetivo mucho más difícil, lo que normalmente significa que su adversario probablemente pasará a ser víctimas más fáciles.

Nivel cinco: software de gestión de contraseñas con autenticación de dos factores

Sabiendo que una contraseña compleja junto con la autenticación de dos factores es la mejor manera de proteger su información de inicio de sesión, el problema sigue siendo memorizar, grabar o compartir esta información. Por este motivo, se recomienda que las organizaciones que comparten la información de inicio de sesión hagan que los empleados utilicen un software de gestión de contraseñas, como 1Password o Dashlane.

Si bien aún no es infalible, un gestor de contraseñas ayuda a los empleados que podrían practicar una mala higiene cibernética a evitar que los datos se divulguen involuntariamente. También permite el cierre patronal inmediato de un empleado que ha sido despedido recientemente, sin tener que perder tiempo en un restablecimiento general de la contraseña de la organización.

Las cuentas compartidas representan un riesgo inherente. En el momento en que comparta una contraseña con otra persona, las vulnerabilidades aumentan y también la probabilidad de que lo hackeen. Si va a compartir una contraseña, tiene que cambiarla al menos cada 90 días y en cuanto alguien con acceso a la contraseña abandone su organización. La mayoría de las grandes organizaciones públicas y privadas exigen esta frecuencia de actualización de las contraseñas. Solo asegúrese de evitar los formatos tan esperados mencionados anteriormente (¡primavera de 2023! ¡Verano de 2023! ¡Otoño de 2023! , ¡invierno de 2023!).

• • •

La mala gestión de contraseñas ha sido la principal causa de violación de datos durante más de 10 años. Cada semana se roban un millón de contraseñas. El uso de información de inicio de sesión robada es el segundo método de infracción más común. El ochenta y cinco por ciento de las filtraciones de datos implican de manera destacada un componente de personal, como la suplantación de identidad, el robo de credenciales y el error humano. Estos casos de datos comprometidos suelen ser realizados por actores externos con fines de lucro. El Informe de investigación de violación de datos de Verizon para 2022 explica que, cuando atacan empresas y organizaciones, los actores hostiles suelen acceder a las redes mediante contraseñas débiles o robadas; de hecho, el 82% de las brechas de seguridad que se producen en los ataques básicos a aplicaciones web se producen robando credenciales, como las contraseñas.

Las empresas tienen que encontrar el enfoque más seguro que utilicen los empleados en realidad seguir. Al establecer políticas de seguridad de contraseñas, tenga esto en cuenta. El mejor sistema del mundo no le servirá de mucho si los empleados acaban trabajando en su contra. Así que, si bien las empresas deben esforzarse para demostrar a los empleados que estar seguros y utilizar una buena higiene de las contraseñas no tienen por qué resultar engorrosos, también deberían tratar de lograr un equilibrio que realmente funcione para sus empleados.

Read more