Canal de Telegram

8 sept 2022

Segu-Info » » Servicios populares siguen permitiendo el uso de contraseñas débiles

Servicios populares siguen permitiendo el uso de contraseñas débiles

8 sept 2022, 9:54:00 a.m.   Comenta primero!
   

Un informe reciente reveló que varios servicios populares utilizan políticas de contraseña particularmente débiles en la parte de su sitio web orientada al cliente. Según el informe, estas empresas solo requieren que sus clientes usen una contraseña que tenga al menos cinco caracteres y que no comience ni termine con un espacio.

Shopify no puede evitar contraseñas comprometidas. El gigante del comercio electrónico, Shopify, es utilizado por más de 3,9 millones de sitios web activos en todo el mundo. Si bien Shopify ofrece autenticación de dos factores (2FA), no es un requisito al crear una cuenta. Shopify no realiza una verificación de contraseña comprometida. La contraseña debe tener al menos 5 caracteres.

Según el informe, los investigadores de Specops analizaron una lista de mil millones de contraseñas que se sabía que habían sido violadas y descubrieron que el 99,7% de esas contraseñas cumplen con los requisitos de Shopify. Si bien esto no pretende sugerir que se hayan violado las contraseñas de los clientes de Shopify, el hecho de que tantas contraseñas violadas conocidas se adhieran a los requisitos mínimos de contraseña de Shopify subraya los peligros asociados con el uso de contraseñas débiles.

Zendesk previene menos del 2 % de las contraseñas comprometidas. Zendesk, una empresa de SaaS que brinda servicios de soporte y comunicación con el cliente, ofrece 2FA al crear una nueva cuenta con el servicio, pero no es un requisito. Zendesk no realiza una verificación de contraseña comprometida, lo que da como resultado que se acepte la contraseña. La contraseña debe tener al menos 5 caracteres.

Trello bloquea menos del 13% de las contraseñas violadas conocidas. El servicio de gestión de proyectos de estilo Kanban, Trello, ofrece 2FA, pero no es un requisito al crear una cuenta. Trello no realiza una verificación de contraseña comprometida. La contraseña debe tener al menos 8 caracteres.

Stack Overflow previene el 46% de las contraseñas comprometidas. El foro público donde los desarrolladores aprenden y comparten conocimientos, emplea una política de contraseñas más compleja, que bloquea casi la mitad de los mil millones de contraseñas comprometidas analizadas. Stack Overflow no parece ofrecer 2FA ni realizar una verificación de contraseña comprometida. Las contraseñas deben contener al menos ocho caracteres, incluidos al menos 1 letra y 1 número.

Mailchimp bloquea el 98% de las contraseñas comprometidas conocidas. El servicio de marketing por correo electrónico es el de mejor desempeño de los servicios relacionados con el trabajo analizados. Esto se debe a la aplicación de una política de contraseñas compleja, aunque es probable que este nivel de complejidad pueda causar otros comportamientos de contraseñas deficientes, como la reutilización de contraseñas y la escritura de contraseñas. Mailchimp no requiere 2FA.

El peligro de las contraseñas débiles en Active Directory

Un estudio reciente de Hive Systems se hace eco de los peligros de usar contraseñas débiles. El estudio examina la cantidad de tiempo que se requeriría para descifrar por fuerza bruta contraseñas de varias longitudes y con diferentes niveles de complejidad. Según la infografía de Hive Systems, una contraseña de cinco caracteres se puede descifrar instantáneamente, independientemente de su complejidad. Dada la facilidad con la que se pueden descifrar contraseñas más cortas utilizando la fuerza bruta, lo ideal es que las organizaciones requieran contraseñas complejas que tengan al menos 12 caracteres de longitud.

Incluso si dejara de lado las implicaciones de seguridad asociadas con el uso de una contraseña de cinco caracteres, existe un problema potencialmente mayor: el cumplimiento normativo.

Es tentador pensar en el cumplimiento normativo como el tipo de cosas por las que solo las grandes empresas tienen que preocuparse. Como tal, muchos pequeños vendedores independientes que abren cuentas de Shopify pueden desconocer felizmente los requisitos regulatorios asociados con hacerlo. Sin embargo, la industria de las tarjetas de pago requiere que cualquier negocio que acepte pagos con tarjeta de crédito cumpla con los Estándares Oficiales de Seguridad PCI.

El sistema operativo Windows contiene configuraciones de políticas de cuenta que pueden controlar los requisitos de longitud y complejidad de la contraseña.

Evitar los requisitos de PCI con un sistema de pago de terceros

Una de las cosas buenas de usar Shopify o una plataforma de comercio electrónico similar es que los minoristas no tienen que operar sus propias pasarelas de pago con tarjeta. En cambio, Shopify maneja el procesamiento de transacciones en nombre de sus clientes. Esta subcontratación del proceso de pago protege a los propietarios de negocios de comercio electrónico de muchos de los requisitos de PCI.

Por ejemplo, los estándares PCI requieren que los comerciantes protejan los datos almacenados del titular de la tarjeta. Sin embargo, cuando una empresa de comercio electrónico subcontrata su procesamiento de pagos, normalmente no estará en posesión de los datos de la tarjeta de crédito del cliente. Como tal, el propietario de la empresa puede evitar efectivamente el requisito de proteger los datos del titular de la tarjeta si, en primer lugar, nunca está en posesión de esos datos.

Sin embargo, un requisito de PCI que podría ser más problemático es el requisito de identificar y autenticar el acceso a los componentes del sistema (Requisito 8 de PCI 3.2.1). Aunque los estándares de seguridad de PCI no especifican la longitud requerida de la contraseña, la Guía de referencia rápida de PCI DSS establece en la página 19 que "Todos los usuarios deben tener una contraseña segura para la autenticación". Dada esta declaración, sería difícil para un minorista de comercio electrónico justificar el uso de una contraseña de cinco caracteres.

Comience a reforzar la seguridad de TI internamente

Esto, por supuesto, plantea la pregunta de qué pueden hacer las empresas de comercio electrónico para mejorar la seguridad general de sus contraseñas. Quizás la recomendación más crítica sería reconocer que los requisitos mínimos de contraseña asociados con un portal de comercio electrónico pueden ser inadecuados. Desde el punto de vista de la seguridad y el cumplimiento, suele ser recomendable utilizar una contraseña que sea más larga y más compleja de lo que se requiere mínimamente.

Otra cosa que deben hacer los minoristas de comercio electrónico es analizar seriamente lo que se puede hacer para mejorar la seguridad de las contraseñas en sus propias redes. Esto es especialmente cierto si los datos de los clientes se almacenan o procesan en su red. Según un estudio de 2019, el 60% de las pequeñas empresas cierran dentro de los 6 meses posteriores a un hackeo. Como tal, es extremadamente importante hacer todo lo posible para evitar un incidente de seguridad y una gran parte de eso implica asegurarse de que sus contraseñas sean seguras.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!