Buenas prácticas en el uso de contraseñas

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Cada vez tenemos más cuentas online y, aunque somos conscientes de que no podemos emplear la misma contraseña para todas, casi 6 de cada 10 usuarios lo hace. En un reciente post, el blog Protege tu Empresa recopila cuáles son las buenas prácticas en el uso de contraseñas. 

Son las siguientes:

- Implantar una gestión de contraseñas. Esta práctica es esencial ya que implica identificar qué equipos, servicios o aplicaciones requerirán introducir credenciales de acceso. Además se tienen que definir cómo se generarán las claves y qué formato deberán seguir. Por último, se deberán establecer las políticas de gestión de claves: cómo se distribuyen, cómo se guardan, quién accede a los repositorios donde se almacenan o con qué periodicidad hay que cambiarlas; estos son algunos de los puntos que establecer para una gestión óptima de las mismas.

- Valorar el uso de mecanismos de autenticación externos. El objetivo de esta buena práctica será la selección y validación del uso de mecanismos de autenticación descentralizados que permitirán el uso de contraseñas únicas para acceder a distintos servicios. Por ejemplo: Social-login, autenticación federada, Single-sign-on, CSAB (Cloud Access Security Brokers), etc.

- Activar herramientas para garantizar la seguridad de las contraseñas. Se trata de activar mecanismos en los sistemas que garanticen que nuestras contraseñas se generen de forma robusta, y que obliguen a los usuarios al cumplimiento de una serie de requisitos, como por ejemplo los periodos de validez de las mismas, que no sea posible su reutilización, el formato que deberán seguir, si cabrá la posibilidad de modificación, etc.

- No utilizar contraseñas por defecto. Hay que evitar el uso de las contraseñas que vienen por defecto en los sistemas y aplicaciones ya que pueden ser fácilmente identificables, bien por ser comunes a muchos servicios cotidianos o bien porque muchas se pueden encontrar por Internet.

- Implementar doble factor para servicios críticos. El doble factor de autenticación (2FA), que conviene distinguir de la verificación en dos pasos, es una medida de seguridad que añadirá una capa extra de protección al sistema de autenticación, ya que requiere, además de la propia contraseña del servicio, es decir «algo que sé», de otro mecanismo independiente para comprobar la identidad «algo que soy», por ejemplo una huella digital o el iris, o «algo que tengo» como las llaves de seguridad o los tokens criptográficos, etc.

- No compartir contraseñas. Obviamente si se comparten, se pierde el control sobre los accesos a los sistemas, servicios o aplicaciones. También habrá que ir olvidándose de apuntar en papeles o post-it, ni enviarlas en correos electrónicos o cualquier otro sistema o servicio que permita la captura.

- Deben ser robustas. Es decir fuertes, difíciles de averiguar. Para ello, deben contar al menos con ocho caracteres combinando mayúsculas, minúsculas, números y caracteres especiales. También es recomendable evitar el uso de combinaciones típicas fácilmente detectables como nombre + fecha de nacimiento.

- No utilizar la misma contraseña para servicios diferentes. Nunca se debe utilizar una misma contraseña para diferentes servicios, ni una misma contraseña para un uso personal y profesional. Si alguien fuera capaz de adivinarla o sustraerla, podría comprometer todos nuestros servicios.

- Cambiar las contraseñas periódicamente. Esta práctica es necesaria para garantizar la confidencialidad. La periodicidad dependerá de la criticidad de los servicios o la información a la que se acceda. Además, también se deben evitar usar, o impedir que puedan usarse, contraseñas utilizadas anteriormente.

- No hacer uso del recordatorio de contraseñas. Aunque la podamos considerar de utilidad porque nos permite ser más ágiles a la hora de acceder a los servicios, tenemos que tener en cuenta que, de esta manera, podríamos estar facilitando acceso a personal no autorizado, sobre todo en navegadores web.

- Utilizar gestores de contraseñas. Se trata de herramientas de gran utilidad cuando hay que manejar un número importante de contraseñas. Para el acceso a este gestor será necesario contar con una contraseña robusta de acceso y con un doble factor de autenticación debido a la importancia del contenido que salvaguarda.