Aplicar buenos hábitos para contraseñas sólidas
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Definir buenos hábitos para contraseñas sólidas.
- Explicar qué protección aportan los gestores de contraseñas.
Usar buenos hábitos para contraseñas sólidas
Los buenos hábitos para el manejo de contraseñas son fundamentales para los sistemas internos de su organización, así como para las credenciales de acceso a su email, su calendario y otras aplicaciones laborales. Más allá de las medidas de protección de la compañía frente a peligros externos, las contraseñas siempre conllevan amenazas de seguridad. Por eso, debe exigir que sus usuarios cuenten con credenciales exclusivas para todas las bases de datos y los sistemas a los que acceden.
Los riesgos vinculados con las contraseñas incluyen usar contraseñas poco seguras, repetir contraseñas y manejar inadecuadamente las credenciales por fallas de almacenamiento o cifrado (uso de un algoritmo de codificación y protección). Una forma de implementar contraseñas sólidas es usar una herramienta de gestión de contraseñas.
Los buenos hábitos para contraseñas sólidas implican dos partes: usar contraseñas sólidas exclusivas en cada servicio y almacenar esas contraseñas en un lugar protegido. Revisemos algunas mejores prácticas para mantener a salvo las contraseñas.
Usar contraseñas sólidas exclusivas
Use una contraseña sólida en cada servicio al que acceda. Es particularmente importante asegurarse de no repetir contraseñas. Puede ser tentador repetir una contraseña o usar contraseñas con variaciones leves, ya que gestionar contraseñas largas y complejas para varias cuentas puede resultar tedioso. Sin embargo, repetir contraseñas es una práctica que expone a su organización a brechas de seguridad.
Cuando se usan contraseñas repetidas, o incluso con variaciones leves, si un hacker obtiene la contraseña para una cuenta, luego puede llegar a acceder a las demás cuentas. Esta ha sido la causa de numerosas brechas de seguridad importantes que afectaron a organizaciones de distintas industrias y llevaron a la exposición de cuentas de redes sociales de los empleados, cuentas bancarias de clientes e incluso sistemas de seguridad nacional. Un gestor de contraseñas es un buen método para minimizar este riesgo.
Usar un gestor de contraseñas
Si bien es fundamental definir contraseñas sólidas, mantenerlas en secreto es igual de importante. Las contraseñas sólidas y exclusivas son difíciles de recordar, por lo que puede ser tentador escribirlas en un papel. Lamentablemente, esta práctica puede derivar en problemas de seguridad graves, ya que un papel impreso puede quedar expuesto, especialmente en las oficinas de diseño abierto. La próxima vez que sienta la tentación de escribir su contraseña en una nota adhesiva o un anotador, ¡piénselo dos veces!
Con “buenos hábitos para contraseñas”, nos referimos a las mejores prácticas indicadas a continuación. Estos buenos hábitos lo ayudan a evitar que los atacantes aprovechen las brechas en sus sistemas. La forma más simple de asegurarse de utilizar contraseñas sólidas para su cuenta, y de no repetirlas, es usar un gestor de contraseñas. La mayoría de los gestores de contraseñas tienen generadores de contraseñas aleatorias incorporados y recopilan los nombres de usuario y las contraseñas en tiempo real. Almacenan esos nombres de usuarios y contraseñas en una base de datos segura, por lo cual no es necesario recordar una contraseña sólida y exclusiva diferente para cada sitio web.
Es posible que su organización le proporcione un gestor de contraseñas; pero, si no es así, puede elegir uno por su cuenta. Los gestores de contraseñas almacenan de forma segura sus sitios, administran sus inicios de sesión, generan contraseñas aleatorias y las guardan en una base de datos segura de modo que no tenga que memorizar contraseñas sólidas y complejas para cada servicio que use.
Qué elementos se almacenan en un gestor de contraseñas y cuáles no
Si bien los gestores de contraseñas son una excelente forma de implementar contraseñas sólidas, debe tener la precaución de no usarlos para cuentas privilegiadas o de administrador del sistema. Para las cuentas privilegiadas, use un depósito o un sistema de gestión de claves con privilegios que cifre sus secretos.
Siga estas mejores prácticas al usar un gestor de contraseñas:
- La complejidad de la contraseña maestra debe ser, como mínimo, equivalente a la de la contraseña más compleja almacenada en el gestor de contraseñas.
- Seleccione una contraseña maestra para su gestor de contraseñas que tenga al menos 16 caracteres e incluya elementos de las siguientes categorías: letras mayúsculas, letras minúsculas, números y símbolos.
- Use una frase de contraseña. Una frase de contraseña es una serie de palabras, similar a una oración, que sirve para autenticación y es más larga que una contraseña tradicional, fácil de recordar y difícil de descifrar. Si quiere sumar un nivel más de seguridad, puede agregar espacios y sustituir letras por caracteres especiales o números.
- Configure su gestor de contraseñas con autenticación de múltiples factores (MFA) para el inicio de sesión.
Agregar defensas con autenticación de múltiples factores
Muchas organizaciones han adoptado la MFA para verificar la identidad de los usuarios antes de permitir el acceso a sus sistemas. Se pueden usar tres tipos de factores para la autenticación: (1) algo que se tiene, (2) algo que se sabe o (3) algo que sea parte del usuario. La MFA exige autenticarse con al menos dos de estos tres factores.
Por ejemplo, al iniciar sesión, puede usar MFA para verificar su identidad con algo que sabe (como la contraseña) y algo que tiene (como una aplicación en el teléfono o un token de hardware). Implementar MFA puede brindar protección contra ataques para obtener contraseñas, como los ataques de phishing, que apuntan a recabar credenciales para acceder sin autorización a la computadora de la víctima. Cuando se usa MFA, aunque un ataque logre obtener una contraseña, necesitará acceso a un segundo factor, como el teléfono o el token de hardware, para poner en riesgo la cuenta.
Siempre use MFA para acceder a su gestor de contraseñas y así contar con el mayor nivel de protección para todos los secretos almacenados allí. Los distintos sistemas de gestión de contraseñas exigen diferentes métodos de autenticación. Puede ser un autenticador de software, como Google Authenticator; un autenticador de hardware, como YubiKey; u otros métodos, como los datos biométricos.
Ahora que sabe cómo proteger sus contraseñas personales, veamos cómo proteger las credenciales de administrador.
Recursos
- Sitio externo: Foro Económico Mundial (FEM): Por qué la crisis de COVID-19 demuestra que hay que abandonar las contraseñas
- Sitio externo: Global Cyber Alliance: Phishing: una pandemia global
- Sitio externo: Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST): publicación especial (SP) 800-63: revisión 3: Guías sobre identidad digital