.
Protección por Password o Frases-Password
Las contraseñas contienen información sobre un dato que en teoría, sólo posee un usuario autorizado.
Es importante trabajar en la seguridad primaria del password para que su deducción sea difícil y para que en la medida de lo posible, sea usada con un sólo fin, sin ser reutilizada para otros accesos.
Una contraseña debe cumplir con tres requisitos básicos:
Para que una contraseña sea considerada segura, el técnico deberá recomendar:
2) Protección del almacenamiento
Durante años, los expertos en seguridad hemos recomendado que las contraseñas no deben escribirse en ningún lado y que lo más conveniente es que estén en la cabeza del usuario.
Esta afirmación sigue siendo cierta, pero actualmente es una práctica imposible de lograr. Los servicios de internet, el home banking, los sistemas on-line, las redes sociales, las multiples cuentas de correo, los servicios de chat, los sistemas intra-empresarios, las extranets, etc, hacen imposible que un usuario normal pueda mantener sólo en sumemoria la gran cantidad de passwords que los usuarios manejan.
Una buena recomendación es la creación de un "llibro rojo" de passwords que puede ser en formato clásico de papel para aquellos que posean un almacenamiento de alta seguridad (como una caja de seguridad dentro de la oficina, una caja de seguridad bancaria o algun sistema de almacenamiento de valores (caja fuerte de dinero) que pueda compartir con el libro de claves.
En ocasiones se puede usar software para el almacenamiento de contraseñas que tenga capacidad de encriptación de datos y a su vez requiera de un password maestro para acceder, lo que facilita la memorización del usuario. Demás está decir que ese password de acceso al software de almacenamiento de contraseñas, a su vez debe cumplir con las medidas de protección arriba mencionadas.
En caso de usar un software como el descripto, es altamente recomendable almacenarlo a su vez en una carpeta encriptada que requiera de acceso por autenticación, sobre todo si el equipo que almacena el software tiene conectividad a una Lan o una Wan. Si bien el usuario requerirá la memorización de dos passwords generales, multiplicará la seguridad del almacenamiento exponencialmente.
3) Política de protección contra ataques internos y externos
Los ataques a un sistema pueden provenir del personal interno, como consecuencia de infidelidad empresaria, descontento, venta de información confidencial a la competencia o, muy frecuentemente, cambio de empleo.
En empresas de mediana y alta envergadura, ciertas posiciones dentro del organigrama son consideradas como estratégicas por la competencia, de manera tal que en ocasiones, las empresas realizan contrataciones estrictamente confidenciales y algunos empleados aprovechan el tiempo que les queda hasta su desvinculación formal para recolectar información y datos confidenciales que llevarán a sus nuevos empleos... en la competencia.
Es así que información estratégica como listas de precios preferenciales, saldos de clientes estratégicos, contactos comerciales, procesos de laboratorio, normas internas de calidad, etc, son el blanco favorito para empleados infieles.
Estos motivos hacen necesaria la implementación de políticas estrictas que aseguren que los passwords de todas las áreas sean modificados al cabo de cierto tiempo, para asegurarse que los empleados descuidados no dejen al descubierto sus claves demasiado tiempo. Los descuidos, los "papelitos con password", las anotaciones de claves en "lugares secretos", son una regla en las empresas contra las que el experto en seguridad nunca podrá luchar. Excepción hecha claro está, en organismos de seguridad cuyos empleados ya esten previamente formados en una obediencia ciega a las políticas de seguridad del sistema. Esto último nunca se puede lograr en la práctica en empresas del circuito comercial.
Ninguna política de seguridad es infalible justamente por el factor humano, es por eso que ante el error y el descuido, la politica de seguridad implementada deberá asegurar un "riesgo controlado", un "daño mínimo".
Para ello, se recomienda:
Que la contraseña se cambie periodicamente, pero sin un patrón uniforme de tiempo pre-establecido. El administrador de la segurdad debe ser el encargado de cambiar él mismo las claves o asegurarse que todos los usuarios cambien su clave de manera obligada.
Es conveniente que la nueva contraseña sea otorgada por el administrador, porque algunos usuarios tienen contraseñas pre-establecidas que van intercambiando entre diversos sistemas. Si hay una debilidad de almacenamiento, todos los accesos del usuario caerán como una baraja de naipes al averguarse cualquiera de ellas.
El cambio de contraseña debe hacerse en períodos variables e irregulares de tiempo que deben quedar registrados. Esto evita una hueco en la seguridad, porque al cambiar las contraseñas nadie podrá saber cuánto tiempo serán válidas. Estos cambios deben registrarse para saber en caso de falla de seguridad, cuánto tiempo y desde qué fecha el sistema fue vulnerable. Este registro es importante para saber qué información puedo ser alterada o robada dentro del sistema al buscar los registros de actividades de los usuarios.
Servicio de consultas técnicas gratuito
Servicio Técnico en Sistemas, Redes y CiberSeguridad
Márketing en Internet y Redes Sociales
Su Aula Virtual en Internet
Su Taller en Internet
Su empresa en Internet
Las contraseñas contienen información sobre un dato que en teoría, sólo posee un usuario autorizado.
Es importante trabajar en la seguridad primaria del password para que su deducción sea difícil y para que en la medida de lo posible, sea usada con un sólo fin, sin ser reutilizada para otros accesos.
Una contraseña debe cumplir con tres requisitos básicos:
- Ser robusta y difícil de adivinar a partir de la ingeniería social
- Si la contaseña es almacenada, el medio de almacenamiento debe cumplir a su vez con los requisitos de seguridad integral del sistema
- Debe protegerse contra posibles ataques internos y externos mediante políticas estrictas de renovación periódica en términos que contemplen la renovación en lapsos irregulares de tiempo, para evitar que los hackers sepan de antemano el período de validez de la misma y ante eventualidades que puedan generar atacantes internos (empleados disconformes, despidos conflictivos, etc).
Para que una contraseña sea considerada segura, el técnico deberá recomendar:
- Que tenga un mínimo de seis caracteres, lo que dificulta enormemente la utlización de combinaciones al azar usadas por algunos programas especializados y los ataques por fuerza bruta.
- Que la palabra o frase no se encuentre en un diccionario de cualquier idioma, o que tenga un significado fácilmente deducible (como un apodo cariñoso, por ejemplo).
- Los passwords nunca deberían estar formados por nombres de parientes, amigos o personas cercanas.
- No deberían estar conformados por fechas especiales ni con significados especiales
- No deben formarse por caracteres contenidos en teclas contiguas del tipo 12345 o qwerty
- Es muy conveniente que se mezclen letras, números y caracteres especiales permitidos por el sistema
2) Protección del almacenamiento
Durante años, los expertos en seguridad hemos recomendado que las contraseñas no deben escribirse en ningún lado y que lo más conveniente es que estén en la cabeza del usuario.
Esta afirmación sigue siendo cierta, pero actualmente es una práctica imposible de lograr. Los servicios de internet, el home banking, los sistemas on-line, las redes sociales, las multiples cuentas de correo, los servicios de chat, los sistemas intra-empresarios, las extranets, etc, hacen imposible que un usuario normal pueda mantener sólo en sumemoria la gran cantidad de passwords que los usuarios manejan.
Una buena recomendación es la creación de un "llibro rojo" de passwords que puede ser en formato clásico de papel para aquellos que posean un almacenamiento de alta seguridad (como una caja de seguridad dentro de la oficina, una caja de seguridad bancaria o algun sistema de almacenamiento de valores (caja fuerte de dinero) que pueda compartir con el libro de claves.
En ocasiones se puede usar software para el almacenamiento de contraseñas que tenga capacidad de encriptación de datos y a su vez requiera de un password maestro para acceder, lo que facilita la memorización del usuario. Demás está decir que ese password de acceso al software de almacenamiento de contraseñas, a su vez debe cumplir con las medidas de protección arriba mencionadas.
En caso de usar un software como el descripto, es altamente recomendable almacenarlo a su vez en una carpeta encriptada que requiera de acceso por autenticación, sobre todo si el equipo que almacena el software tiene conectividad a una Lan o una Wan. Si bien el usuario requerirá la memorización de dos passwords generales, multiplicará la seguridad del almacenamiento exponencialmente.
3) Política de protección contra ataques internos y externos
Los ataques a un sistema pueden provenir del personal interno, como consecuencia de infidelidad empresaria, descontento, venta de información confidencial a la competencia o, muy frecuentemente, cambio de empleo.
En empresas de mediana y alta envergadura, ciertas posiciones dentro del organigrama son consideradas como estratégicas por la competencia, de manera tal que en ocasiones, las empresas realizan contrataciones estrictamente confidenciales y algunos empleados aprovechan el tiempo que les queda hasta su desvinculación formal para recolectar información y datos confidenciales que llevarán a sus nuevos empleos... en la competencia.
Es así que información estratégica como listas de precios preferenciales, saldos de clientes estratégicos, contactos comerciales, procesos de laboratorio, normas internas de calidad, etc, son el blanco favorito para empleados infieles.
Estos motivos hacen necesaria la implementación de políticas estrictas que aseguren que los passwords de todas las áreas sean modificados al cabo de cierto tiempo, para asegurarse que los empleados descuidados no dejen al descubierto sus claves demasiado tiempo. Los descuidos, los "papelitos con password", las anotaciones de claves en "lugares secretos", son una regla en las empresas contra las que el experto en seguridad nunca podrá luchar. Excepción hecha claro está, en organismos de seguridad cuyos empleados ya esten previamente formados en una obediencia ciega a las políticas de seguridad del sistema. Esto último nunca se puede lograr en la práctica en empresas del circuito comercial.
Ninguna política de seguridad es infalible justamente por el factor humano, es por eso que ante el error y el descuido, la politica de seguridad implementada deberá asegurar un "riesgo controlado", un "daño mínimo".
Para ello, se recomienda:
Que la contraseña se cambie periodicamente, pero sin un patrón uniforme de tiempo pre-establecido. El administrador de la segurdad debe ser el encargado de cambiar él mismo las claves o asegurarse que todos los usuarios cambien su clave de manera obligada.
Es conveniente que la nueva contraseña sea otorgada por el administrador, porque algunos usuarios tienen contraseñas pre-establecidas que van intercambiando entre diversos sistemas. Si hay una debilidad de almacenamiento, todos los accesos del usuario caerán como una baraja de naipes al averguarse cualquiera de ellas.
El cambio de contraseña debe hacerse en períodos variables e irregulares de tiempo que deben quedar registrados. Esto evita una hueco en la seguridad, porque al cambiar las contraseñas nadie podrá saber cuánto tiempo serán válidas. Estos cambios deben registrarse para saber en caso de falla de seguridad, cuánto tiempo y desde qué fecha el sistema fue vulnerable. Este registro es importante para saber qué información puedo ser alterada o robada dentro del sistema al buscar los registros de actividades de los usuarios.
Por Ricardo Ponce
Links de Interés:
Cursos de Formación Profesional
Toda la oferta de cursos
Libros Gratuitos para Usted
Nuestro Canal YouTube
Toda la oferta de cursos
Libros Gratuitos para Usted
Nuestro Canal YouTube
Servicio Técnico en Sistemas, Redes y CiberSeguridad
Márketing en Internet y Redes Sociales
Su Aula Virtual en Internet
Su Taller en Internet
Su empresa en Internet
