El peor enemigo de las contraseñas de seguridad son las políticas de creación
Comentando sobre los informes en los que un desarrollador de seguridad concluyó que las políticas de creación de contraseñas perjudican la seguridad de las credenciales, el cofundador de SecurEnvoy, Steve Watts dice que el principal problema es que el enfoque convencional de seguridad del par usuario/contraseña está llegando a su límite en lo referente a seguridad.
Las razones son mucho mas complejas de lo que menciona Cameron Morris, Desarrollador en Sistemas. "Con esto no digo que Cameron este equivocado, de ninguna forma, sin embargo mucha de las razones por las que la seguridad en las contraseñas esta al borde de perderse son variadas, siendo las políticas de las empresas solamente una de ellas," mencionó.
"Otro de los principales problemas que hemos observado es la dificultad de recordar contraseñas complejas que contengan más de 6 u 8 caracteres, en los que la gran mayoría se apoya. Es por ello que vuelven a recurrir al uso de una frase de 8 dígitos, que comúnmente es el nombre de un pariente o el lugar de nacimiento y que desgraciadamente son muy fáciles de descifrar realizando ataques de password dirigidos", agregó.
El problema con las políticas de contraseñas institucionales es que por lo regular obligan a los usuarios a crear contraseñas complejas mezclando letras y números con mínimo una letra mayúscula.
El resultado siguiente es que los usuarios terminan con una frase de contraseña muy complicada que es difícil de recordar, frecuentemente resulta que para ser recordada es almacenada en teléfonos móviles como un "recordatorio," o peor aun, escrita en papeles adhesivos a manera de notas que suelen pegarse en el monitor de la computadora.
Este es el problema central que menciona Cameron: al realizar contraseñas muy complejas, los usuarios promedio optan por alternativas sencillas para recordarlas en el momento que quieran ingresar a algún sito.
Watts mencionó también que esta experiencia ha llevado a muchas organizaciones a seguir el camino de la autentificación por la vía del dispositivo Token, obligando a sus empleados a portarlo ya sea en un llavero o en su cartera.
Una alternativa más sencilla es seguir la ruta de seguridad Tokenless 2FA, utilizando los teléfonos móviles de los empleados como medio para autentificación. Tokenless 2FA puede re-configurarse completamente por el servicio atención del IT en tiempo real, en lugar de tener que esperar a que algún empleado haga envío de un nuevo dispositivo Token.
Fuente: UNAM CERT
Las razones son mucho mas complejas de lo que menciona Cameron Morris, Desarrollador en Sistemas. "Con esto no digo que Cameron este equivocado, de ninguna forma, sin embargo mucha de las razones por las que la seguridad en las contraseñas esta al borde de perderse son variadas, siendo las políticas de las empresas solamente una de ellas," mencionó.
"Otro de los principales problemas que hemos observado es la dificultad de recordar contraseñas complejas que contengan más de 6 u 8 caracteres, en los que la gran mayoría se apoya. Es por ello que vuelven a recurrir al uso de una frase de 8 dígitos, que comúnmente es el nombre de un pariente o el lugar de nacimiento y que desgraciadamente son muy fáciles de descifrar realizando ataques de password dirigidos", agregó.
El problema con las políticas de contraseñas institucionales es que por lo regular obligan a los usuarios a crear contraseñas complejas mezclando letras y números con mínimo una letra mayúscula.
El resultado siguiente es que los usuarios terminan con una frase de contraseña muy complicada que es difícil de recordar, frecuentemente resulta que para ser recordada es almacenada en teléfonos móviles como un "recordatorio," o peor aun, escrita en papeles adhesivos a manera de notas que suelen pegarse en el monitor de la computadora.
Este es el problema central que menciona Cameron: al realizar contraseñas muy complejas, los usuarios promedio optan por alternativas sencillas para recordarlas en el momento que quieran ingresar a algún sito.
Watts mencionó también que esta experiencia ha llevado a muchas organizaciones a seguir el camino de la autentificación por la vía del dispositivo Token, obligando a sus empleados a portarlo ya sea en un llavero o en su cartera.
Una alternativa más sencilla es seguir la ruta de seguridad Tokenless 2FA, utilizando los teléfonos móviles de los empleados como medio para autentificación. Tokenless 2FA puede re-configurarse completamente por el servicio atención del IT en tiempo real, en lugar de tener que esperar a que algún empleado haga envío de un nuevo dispositivo Token.
Fuente: UNAM CERT
Y la politica del BNA impresentable de las contraseñas dificiles de crear por no poder poner dos letras consecutivas y algo mas, hace que la gente encuentre una contraseña muy muy facil del tipo MARCELO, PLAZOLETA, KARINA, SANTOS, etc, y como debe tener números y cambiarse todos los meses tenemos que para:
ResponderBorrarenero la contrseña es marcelo01, para
febrero la contrseña es marcelo02, para
marzo la contrseña es marcelo03 y así sucesivamente.
Como siempre muy bueno lo tuyo.
Saludos
Damián