En la actualidad, se define al usuario como el eslabón más débil en el ciclo de vida de la seguridad debido a que somos fácilmente influenciables y predecibles, lo cual crea grandes oportunidades para los atacantes de vulnerar la seguridad a través de la explotación del factor humano.

 

Con la finalidad de mitigar este tipo de riesgos, las organizaciones hacen un enorme esfuerzo implementando una gran cantidad de controles, siendo el más común  el cambio periódico de sus contraseñas, pero se han preguntado ¿Que tan eficiente es para la organización esta práctica?

 

Veremos a continuación los dos escenarios que logran evidenciar si esta práctica es eficiente:

Escenario 1:

Se le pide a los usuarios hacer el cambio de sus contraseñas cada X días, pero se le permite a los usuarios:

  • Reutilizar la contraseña,
  • Utilización de contraseñas muy parecidas a las anteriores, permitiendo que los usuarios puedan agregar un caracter nuevo a su contraseña actual y de esta forma cumplir el requerimiento.

Escenario 2:

Se configuran controles robustos en los cuales se les solicita a los usuarios cada X días cambiar sus contraseñas siguiendo buenas prácticas, como el uso de contraseñas alfanuméricas, mayores a N caracteres, y adicional que no puedan ser rehusadas.

 

Analicemos estos dos escenarios, en el primer caso, es claro que el usuario va utilizar contraseñas débiles y con patrones muy fáciles de descifrar; para el segundo escenario existen controles más fuertes, que en teoría para la organización permiten tener un aire de alivio sobre la fortaleza de las contraseñas, pero la realidad es que este cambio periódico se convierte en un arma de doble filo, ya que los usuarios tienden a almacenar en medios inseguros estas contraseñas, como lo son:

 

  • Las  notas de papel, debajo de los teclados, incluso en sus billeteras o carteras. 
  • Documentos o notas de texto en los computadores o celulares
  • Post-it
  • Sin contar la cantidad de usuarios que a diario solicitan realizar el desbloqueo de sus cuentas por el olvido de sus contraseñas.

 

Por consiguiente, la eficacia de un cambio periódico de contraseñas se ve afectado y adicionalmente genera una carga administrativa para la organización, debido a que este control en vez mitigar el riesgo, lo transfiere a otros que podrían ser aún más críticos.

En la actualidad existen algunas recomendaciones dispuestas por la NIST (National Institute of Standards and Technology https://pages.nist.gov/800-63-3/sp800-63b.html), como buenas prácticas para la creación de las contraseñas, las cuales se enumeran a continuación:

Creación de contraseñas:

  1. No usar palabras, utilizar frases
  2. No usar caracteres repetitivos o secuenciales
  3. Combinar mayúsculas,minúsculas,números y símbolos
  4. Usar mala ortografía
  5. Usar mínimo 16 caracteres
  6. En sistemas considerados como críticos para la organización, se pide implementar  técnicas de autenticación de doble factor e incluso triple factor de autenticación.

En conclusión, las organizaciones deben eliminar el cambio periódico de las contraseñas por las evidentes desventajas que brinda este cambio, y el tiempo invertido en atención de casos por olvido de contraseñas o incidentes generados por el hallazgo de contraseñas escritas en papel o post-it, puede enfocarse en fortalecer procesos de conciencia al usuario, donde se les puede apoyar en procesos no solo de creación de contraseñas seguras, sino también de identificación de amenazas y manejo de incidentes de seguridad.

 

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like