Las contraseñas son un problema de seguridad crítico de IBM i – AS/400 porque representan el método más obvio y más fácil de explotar para poner en peligro su sistema.
Es importante tener las medidas de seguridad para contar con contraseñas adecuadas y así mejorar otras áreas con las que comparte la red del IBM i. ¿Cómo puede estar seguro de que el usuario que inició sesión es el mismo usuario al que se le asignó el usuario y la contraseña?
A continuación le mostraremos los datos de cuántos usuarios de IBM i confían en las contraseñas predeterminadas a pesar de los riesgos y cómo puede cerrar esta brecha de seguridad en su sistema. Esta información está basada en el estudio de seguridad IBM i 2021 hecha por Helpsystems, puede descargar el estudio aqui.
En el sistema IBM i, los perfiles que tienen una contraseña predeterminada tienen una contraseña que es la misma que el nombre de usuario. Por lo cual este es un valor predeterminado al crear nuevos perfiles de usuario y se convierte en un factor de riesgo particularmente alto para los servidores IBM i.
Muchas empresas aplican políticas para nombrar sus cuentas de usuario o perfiles basados en un formato estándar, como la inicial del nombre seguido por el apellido (por ejemplo, aantonio o jrodriguez). Para un hacker será fácil adivinar este tipo de nombres de perfil y probar contraseñas predeterminadas. Incluso para un empleado quien entiende la política interna para nombrar los perfiles de usuario, será fácil probar contraseñas predeterminadas, especialmente si conoce cuentas que han sido creadas pero no se han utilizado.
Los estándares regulatorios generalmente exigen que los usuarios utilicen credenciales únicas conocidas solo por el usuario, para garantizar que cualquier acción pueda vincularse específicamente a ese individuo. Las organizaciones podrían tener dificultades para procesar actividades ilegales o no autorizadas si se hiciera evidente que las credenciales no podrían identificar de manera inequívoca al culpable. Esta prevalencia de contraseñas predeterminadas significa que adivinar una contraseña se convierte en una tarea simple y esto se traduce en una falla de cumplimiento.
Los datos del estudio de seguridad de IBM i, analiza el número de usuarios del sistema que continúan usando las contraseñas predeterminadas. Los datos más recientes muestran que cerca del 15% de los perfiles de usuario usan las contraseñas predeterminadas (Figura 4). El 44% de los sistemas analizados tiene más de 30 perfiles de usuario y 25% tienen más de 100 perfiles de usuario con contraseñas predeterminadas.
Un sistema tiene un total de 5604 perfiles de usuario con contraseñas predeterminadas y más de 2 mil estaban en estado habilitado.
Es importante establecer y aplicar una política de contraseñas que dificulte poner en riesgo las cuentas de los usuarios. A partir de la V7.2 del IBM i soporta la prohibición de contraseñas predeterminadas a través del valor del sistema QPWDRULES, siempre y cuando se tome en cuenta las aplicaciones o software del proveedor que crea perfiles durante la instalación.
Este artículo fue originalmente publicado en el Blog de Helpsystems
¿Usted conoce cuántos usuarios en su sistema tiene contraseñas predeterminadas? Nosotros le podemos apoyar a conocer este dato y a solucionar cualquier aspecto de seguridad de IBM i – AS/400 que pueda representar brechas de seguridad peligrosas.
