Última actualización: 16 septiembre, 2022
En el control de accesos, el nombre de usuario nos identifica y la contraseña nos autentica. Con ella se comprueba que somos quienes decimos ser. La gestión de contraseñas es un asunto muy importante para la seguridad de las organizaciones y la información que manejan.
Todo sistema de autenticación de usuarios se basa en la utilización de uno, o varios, de los siguientes factores:
- Algo que sabes: Solo lo conoce la persona que quiere autenticarse. Son contraseñas, preguntas personales, PIN.
- Algo que eres: Está referido a la biometría, algo que puede ser medido y único de cada persona como la huella dactilar, voz, reconocimiento facial.
- Algo que tienes: Algún objeto en posesión de la persona que quiere autenticarse como tokens criptográficos, tarjeta de coordenadas, SIM.
El uso de la contraseña es el método más utilizado, esto significa que su gestión es uno de los aspectos más importantes para asegurar los sistemas de la empresa y toda la información que gestionamos. Las contraseñas deficientes o mal custodiadas pueden favorecer el acceso y el uso no autorizado de los datos y servicios de la organización.
Los cyberdelincuentes saben que el uso de la contraseña es habitual para acceder a muchos de los sistemas y servicios utilizados en el día a día. Con una simple contraseña pueden tener en su poder información y acceso a los sistemas, por lo que protegerlas debidamente es esencial para salvaguardar la continuidad de las operaciones.
Seguir una serie de buenas prácticas de seguridad en el uso de contraseñas ayudará a mitigar este riesgo.
5 consejos para una buena gestión de contraseñas
- Robustez o complejidad. Es una de las principales medidas de seguridad. En muchas ocasiones, se eligen contraseñas débiles al ser fáciles de recordar para acceder a los servicios de la empresa. Por ejemplo una contraseña basada en un nombre de persona o el comúnmente usado 123456 es descubierta en segundos. Los requisitos mínimos de una contraseña robusta son:
- Longitud mínima de 8 caracteres. Cuanto más larga sea esta, más tiempo se tardará en descubrirla.
- Utilizar combinaciones de letras mayúsculas, minúsculas, números y símbolos.
- No compartir contraseñas personales. La contraseña debe ser intransferible y nadie, bajo ningún concepto, debe saber cuál es. Si otra persona conocedora de tu contraseña hiciera algo con tus credenciales de acceso, podrías ser señalado como responsable ya que aparecerá registrado tu usuario.
- Doble factor de autenticación. Es un mecanismo que añade una capa extra de seguridad a los servicios que requieren de usuario y contraseña para su uso. Esto se consigue por medio una nueva clave que, generalmente, es de un solo uso. Normalmente, este segundo factor de autenticación está vinculado a un teléfono móvil, por medio de una aplicación específica.
- No usar la misma. La reutilización de las contraseñas es uno de los errores más comunes que se cometen. Si un cyberdelincuente consigue hacerse con la contraseña en uno de los servicios que utilizamos todos los servicios que utilizan la misma contraseña se verían comprometidos. Cada servicio debe tener su propia contraseña de acceso.
Gestores de contraseñas
En muchas ocasiones, debido a la gran cantidad de servicios que se utilizan en el día a día de la empresa, puede resultar complicado acordarse de todas las contraseñas. Por esa razón, muchas veces, se recurre a utilizar la misma para multitud de servicios, algo desaconsejable.
Para evitar tener que recordar todas esas contraseñas existen herramientas específicas que simplifican el trabajo, conocidas como gestores de contraseñas. Utilizando este tipo de herramientas únicamente será necesario acordarse de una contraseña, la que permite el acceso al gestor. Estos gestores también pueden ser multiplataforma, por lo que desde cualquier lugar y desde cualquier dispositivo puedes tener acceso a todas tus credenciales de acceso.
Los gestores de contraseñas suelen contar con una característica que permite crear contraseñas aleatorias robustas lo que aumenta considerablemente la seguridad de los servicios donde se implemente. Como único requisito a tener en cuenta es utilizar una contraseña maestra lo más robusta posible, ya que si esta no es lo suficientemente segura el resto de servicios tampoco lo serán.