La ley de la buena contraseña
A las contraseñas hay que prestarle atención. Forman parte de nuestra vida diaria y se utilizan para todo: teléfono móvil, alarma de casa y oficina, sacar dinero de cajeros, y en el tema que nos aplica: correo electrónico, FTP, cuentas bancarias, etc. Muchas veces la contraseña es la única vía de acceso a los servicios. Josep Pocalles, miembro del Sans Institute, desarrolló este trabajo para su curso de Seguridad de la Información para gerentes de áreas no tecnológicas.
Al referirnos a poner una contraseña 'fuerte', expresamos cuál es la dificultad que ofrece ésta ante alguien (o algo) que está intentando descubrirla. Una contraseña será más fuerte cuando ofrezca mayores dificultades para que el atacante la identifique. Por el contrario, será más débil cuando sea relativamente simple descubrirla. Será mucho más difícil localizar una clave como 'jz7iit16', que una palabra común como 'gato'. Algo análogo sería poner un candado pequeño o grande para nuestra puerta.
Una buena forma de demostrar la necesidad de utilizar contraseñas fuertes es mostrar la facilidad con que las contraseñas débiles pueden ser identificadas. La mayoría de los usuarios no tienen ni idea de la existencia de herramientas para descubrir contraseñas, ni de lo realmente fáciles y eficientes que son (y en muchos casos, incluso totalmente gratuitas).
Como mejorar la calidad de las contraseñas
La política de seguridad existente en cada organización debe fijar los requerimientos para que una contraseña se considere aceptable dentro del ámbito de la misma. No obstante, me permito sugerir una serie de valores que son comúnmente aplicados:
– Todas las cuentas de usuario, sin excepción, deben de tener asociada una contraseña.
– El usuario, en su primera conexión a la red, debe ser forzado a cambiar de contraseña.
– La longitud de las contraseñas no debe ser inferior a ocho caracteres.
– Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.
– La contraseña no debe contener el identificador o el nombre del usuario.
– Las contraseñas deben caducar, como máximo, cada treinta días. El período mínimo de validez de una contraseña debe ser un día.
– Cuando se realice un cambio de contraseña, ésta debe ser diferente de las utilizadas anteriormente por el mismo usuario.
– Periódicamente debe realizarse una auditoría para verificar que se cumple con los requerimientos de la política de seguridad.
Como conclusión, en contra de lo que pueda parecer, la seguridad informática está siendo olvidada por la mayoría de empresas, hasta que ocurre algo indeseado. No son las máquinas las que fallan, sino las personas que efectuamos prácticas incorrectas (dejar la contraseña visible en la oficina, dejarnos sesiones abiertas, etcétera). Con las recomendaciones aportadas podemos evitar estos errores. Como conclusión hay que añadir que si se cierra la puerta cuando se sale de casa, lo mismo se debe hacer al usar sistemas y servicios en Internet.
Fuente: www.itpymes.com