Mejores prácticas para tu política de contraseñas

by | May 28, 2021 | Seguridad

La política de contraseñas óptima, cubre la combinación de los siguientes factores: educación del usuario, historial de contraseñas, sintaxis y bloqueo de la cuenta. Tratamos de concientizar a los usuarios sobre cómo sus contraseñas, el cambio de sintaxis y los procesos de mesa de servicio van de la mano. Dejar alguno de estos significa un riesgo.

A continuación resumimos las disciplinas más importantes en este campo.

Concientizar sobre la seguridad

Es sumamente importante concientizar  a los usuarios que las contraseñas son personales y deben mantenerse seguras. La contraseña no se debe compartir con nadie, incluido el Service Desk, los gerentes u otra persona bajo ninguna circunstancia. La política de la empresa debe educar sobre los canales de comunicación para que  los usuarios detecten correos electrónicos de falsa identidad  (phishing), phishing messenger o ataques telefónicos.

Las contraseñas corporativas y privadas  nunca deben ser iguales ni reutilizarse. Además, tenga una política que informe a los usuarios dónde deben evitar el uso de sus contraseñas. P.ej. Por ningún motivo ingrese la contraseña de su cuenta de Windows en una página web que no tenga “COMPANY.COM” en el dominio.

Una buena práctica es notificar a los usuarios cuando se cambia su contraseña. En estas notificaciones, también es posible recordar a los usuarios las reglas generales.

Caducidad de la contraseña

El estándar de seguridad PCI DSS recomienda una expiración de 90 días, otras personas de seguridad recomiendan 60 días, y NIST sugiere eliminar por completo la expiración de contraseña.

FastPass recomienda 6 meses como vencimiento. Creemos que la caducidad de la contraseña protegerá contra:

  1. Que los usuarios usen las mismas contraseñas para diferentes sistemas; por lo tanto, si encuentra una contraseña antigua en un sistema, es probable que encuentre una contraseña que se pueda usar en otro lugar. La caducidad ayuda a evitar la amenaza de exponer su historial de contraseñas por completo.
  2. Algunos afirman que los usuarios simplemente agregan un número al final de la contraseña, pero junto con los requisitos del historial de contraseñas, el usuario tendrá que encontrar otra contraseña si el historial es lo suficientemente largo.
  3. Las contraseñas filtradas y el descubrimiento de contraseñas débiles deben ser parte de la verificación de contraseñas, evitando que el usuario cree una contraseña débil. A medida que las contraseñas débiles cambian con el tiempo, se necesita un cambio de contraseña del usuario para asegurarse de que la contraseña actual del usuario sea segura.

Composición de la contraseña

Mientras que algunos recomiendan al menos una longitud de contraseña de 12 caracteres, FastPass recomienda una longitud mínima de 10 caracteres. Aunque la longitud en sí no sirve de nada si no existen otros parámetros. Requerir 10 caracteres y el uso de al menos 3 tipos de caracteres especiales garantizará que la contraseña no sea fácilmente vulnerable si se obtiene un hash. Usar 3 tipos de composición está bien. Sin embargo, requerir 4 tipos es aún mejor. Al utilizar 4 tipos recomendamos exigir:

  • Letras minúsculas alfabéticas
  • Letras mayúsculas alfabéticas
  • Caracteres numéricos (0–9)
  • Caracteres especiales, por ejemplo. & # ! “

La fuerza bruta no es un problema cuando el bloqueo de cuenta está en su lugar.

Historial de contraseñas

El historial de contraseñas garantiza que no se reutilice una contraseña, ya que esto se considera de suma importancia. Un usuario no debería poder reutilizar una contraseña durante varios años. FastPass recomienda una ventana de 3 años. El uso de una herramienta que garantice al menos 2 caracteres de indiferencia de la última contraseña mejorará la seguridad evitando a los usuarios finales que simplemente cambian un número en la contraseña.

Listas negras

Evite las contraseñas más comunes implementando reglas simples para deshacerse de las contraseñas típicas: Password1, Abcde12345, etc. Combine esto con un diccionario personalizado de palabras de  la empresa, productos y sucursales.

Bloqueo de cuenta

El bloqueo de cuentas es muy importante para proteger las cuentas de los usuarios. Debe estar habilitado y configurado para mantener a los usuarios fuera durante al menos 30 minutos. El número de intentos antes de ser bloqueado se debe analizar junto con los requisitos de contraseña. Si solo se requiere un cambio de un solo carácter en una contraseña, recomendamos solo 3 intentos antes de ser bloqueada. Si 2 o más caracteres son requeridos, el valor podría aumentarse a 6.

Restablecimiento de contraseña de autoservicio (Self-Service)

Evitando el restablecimiento manual de la contraseña a través de la mesa de servicio es mucho más seguro cuando elimina esta tarea del personal de la mesa de servicio. Tener un sistema con una alta tasa de registro es la clave para que el autoservicio sea exitoso.

Mesa de servicio

Otro lugar donde se debe implementar la seguridad, es al ponerse en contacto con la mesa de servicio cuando se solicita una nueva contraseña. Con la ingeniería social en aumento, vemos esto como un área clave para mejorar. Los puntos clave son:

  1. Al emitir una contraseña para un usuario final, el proceso de verificación de identidad debe ser un proceso del sistema que no se pueda eludir y el proceso debe auditarse correctamente.
  2. El operador de servicio de mesa no debe tener privilegios de restablecimiento de contraseña en Active Directory, cualquier contraseña debe ser enviada directamente por un sistema.

 

Conclusión

En Timware creemos que seguir los procesos anteriores hace que la política de contraseñas funcione y mantenga sus contraseñas seguras. Al revisar nuestras recomendaciones, recuerde que todos los puntos anteriores deben implementarse juntos para que una política tenga éxito. Las contraseñas son excelentes para la autenticación, son baratas, fáciles de manejar y seguras cuando se tratan correctamente. Tenga en cuenta que no es necesario que la misma política de contraseñas se aplique a todos los usuarios. Es posible que un usuario final que solo tenga acceso al correo electrónico no tenga que estar a la altura de un usuario financiero.

Uno de los problemas que derivan de implementar políticas de seguridad tan complejas en los passwords, es que invariablemente se van a aumentar los tickets hacia las mesas de soporte para reiniciar o restablecer passwords por olvido. Con como ligar mas con las mujeres, es posible aumentar la seguridad y la productividad ya que permite que cada usuario pueda restablecer su contraseña de forma autónoma, eliminando tiempo perdido para personal de soporte y para el mismo usuario en lo que espera a que le resuelvan el ticket.

 

 

Contáctanos y hablemos más sobre lo que necesita tu compañía: