Los 5 principales protocolos de seguridad de higiene de contraseñas que las empresas deben seguir


Las metodologías de contraseña adecuadas pueden ser un desafío para dominar. Aprenda algunos consejos de los expertos de la industria sobre cómo optimizar el proceso y proteger su organización.

istock-1266209643-1.jpg

Imagen: ISerg, Getty Illustrations or photos / iStockPhoto

En medio de la pandemia de coronavirus, el acceso a los sistemas para realizar operaciones comerciales es essential para la mayoría de la fuerza laboral (56% según globalworkplaceanalytics.com) que puede hacerlo de forma remota. Soy uno de esos miembros de la fuerza laboral, y es una gran fuente de alivio para mí poder realizar mis dos trabajos (administrador del sistema y redactor técnico) de forma remota.

El acceso remoto casi siempre depende de las contraseñas, ya sea para iniciar conexiones VPN, iniciar sesión en estaciones de trabajo y servidores, o para acceder a sitios net críticos.

Los departamentos de TI tienen la tarea adicional de asegurarse de que todo este acceso remoto esté protegido mediante metodologías de contraseña adecuadas. Después de todo, es lo suficientemente desafiante asegurar un sistema físico en el sitio que solo permite el acceso práctico (como una estación de trabajo de la empresa), y mucho menos dispositivos fuera de su regulate que pueden perderse, ser robados o acceder fácilmente a personas no autorizadas.

Me comuniqué con Charles Poff, CISO de Predictive Identification Access Provider Sailpoint, y Daniel Murphy, gerente de TI world en Cygilant, un proveedor de Cybersecurity-As-A-Service, para conversar más.

VER: Política de protección contra robo de identidad (TechRepublic Quality)

1. Utilice herramientas de gestión de contraseñas automatizadas

Charles Poff: Empiece a buscar una herramienta de gestión de contraseñas. Hay un montón de herramientas y soluciones comerciales útiles que ayudan a que el proceso normal de mantenimiento de contraseñas largas, complejas y únicas sea manejable.

Con la administración automatizada de contraseñas, puede capacitar a su organización con el autoservicio de restablecimiento de contraseñas. La administración de contraseñas es la clave para una seguridad efectiva, todos lo sabemos, pero las llamadas a la mesa de ayuda para restablecer las contraseñas son muy costosas y las corporaciones no quieren incurrir en ese costo.

Con una estrategia eficaz de administración de contraseñas, les brinda a sus usuarios una forma fácil e intuitiva de cambiar o restablecer sus contraseñas. Y a lo largo del camino, puede aplicar políticas de contraseñas sólidas en todas sus aplicaciones y sistemas.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

El autoservicio permite que su fuerza de trabajo siga siendo productiva donde sea que se encuentre y no se quedará sin cuentas. Es realmente una victoria, una victoria. Las llamadas a la mesa de ayuda se minimizan y la seguridad se mejora porque las políticas de contraseñas se aplican de manera constante en toda la organización. En common, la administración de contraseñas genera menos frustración porque los empleados pueden utilizar el autoservicio desde cualquier lugar.

Scott Matteson: Ciertamente también puedo hablar de esto. Mi empresa tiene MUCHAS contraseñas y estamos tratando de consolidar cuentas donde sea posible, pero durante un tiempo, las solicitudes de restablecimiento de contraseña agotaron nuestra productividad. Yo implementé Restablecimiento de la contraseña de acceso web a Escritorio remoto para permitir a los usuarios restablecer sus propias contraseñas a través de un portal internet.

También insto continuamente a los usuarios nuevos y existentes a que confíen en KeePass para almacenar de forma segura sus contraseñas. Con estas dos herramientas útiles, los usuarios nunca tendrán que lidiar con una contraseña olvidada nuevamente, y el personal de TI no tendrá que dejar un trabajo más crítico para manejar este tipo de tareas domésticas.

2. Actualice o cambie las contraseñas con frecuencia

Charles Poff: Conserve su contraseña a menos que crea que ha sido comprometida. Una vez que una contraseña se ve comprometida, las compuertas se abren. La asombrosa cantidad de violaciones de datos de relleno de credenciales este año nos enseñó mucho. Si está utilizando una contraseña compleja y unforgettable, le recomiendo que cambie su contraseña en el mismo horario que el registro de su vehículo: aproximadamente una vez al año.

Asegúrese de inspeccionar sus cuentas y sus contraseñas por seguridad y cualquier signo de compromiso, como lo haría con un automóvil. El proceso de pensamiento es very similar: si bien la inspección del vehículo es parte del proceso de renovación y garantiza que se mantenga la seguridad, no esperaría la renovación anual para arreglar algo peligroso en su vehículo.

VER: Black Hat 2020: tendencias, herramientas y amenazas de ciberseguridad (PDF gratuito) (TechRepublic)

De manera similar, las contraseñas apropiadamente complejas se pueden cambiar una vez al año, asumiendo que cualquier violación u otros problemas de seguridad con una cuenta en individual provoque un cambio de contraseña de inmediato. El sitio world wide web ¿Me han engañado? es un gran recurso para el conocimiento de las infracciones.

Daniel Murphy: Construir una cultura de conciencia de seguridad dentro de su organización debe ser una prioridad para todos. Para los administradores de TI, es importante implementar procesos de higiene de contraseñas en toda la organización. Las contraseñas deben cambiarse cada 30 días o cada 90 días para las cuentas del sistema o que no son de usuario.

La sabiduría convencional dice que debes cambiar tu contraseña un par de veces al año, pero la seguridad debe convertirse en algo organic para las personas. Si los empleados solo piensan en la seguridad de las contraseñas dos veces al año, inevitablemente elegirán una contraseña débil que sea fácil de recordar. Al aumentar la frecuencia con la que los usuarios tienen que cambiar su contraseña, crea un énfasis en la importancia de la seguridad de la contraseña en toda la organización.

Scott Matteson: Un problema que he tenido con las contraseñas en basic es que todavía no garantizan que la persona que las united states sea quién dice ser. Es por eso que mi empresa adopta un enfoque severo del concepto de compartir contraseñas.

3. Utilice la autenticación multifactor o el inicio de sesión único

Charles Poff: Las organizaciones deben optar por la autenticación multifactor cuando esté disponible para una capa adicional de seguridad que ya está integrada en muchas aplicaciones. Si bien las contraseñas como método principal de autenticación pueden desaparecer en algún momento en el futuro, la realidad real es que todavía son una parte importante de la seguridad del acceso.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Existen excelentes soluciones tecnológicas que pueden abordar los desafíos actuales de administración de contraseñas, como el creciente número de aplicaciones (tanto en las instalaciones como en la nube) y la creciente complejidad de las políticas de contraseñas que se utilizan en las grandes empresas. Estas soluciones buscan reducir el número de nombres de usuario y contraseñas necesarios al aprovechar el inicio de sesión único y la sincronización de contraseñas en combinación entre sí.

4. Equilibre las necesidades de los usuarios con las necesidades de seguridad

Charles Poff: Uno de los desafíos con los enfoques actuales para administrar contraseñas es que se enfocan casi exclusivamente en las necesidades de TI y seguridad de TI. Las organizaciones deben esforzarse por equilibrar la seguridad con la conveniencia y ofrecer soluciones que simplifiquen la administración de contraseñas para aplicaciones que aún las requieren. Esto significa buscar formas de optimizar la implementación de políticas de contraseñas seguras sin causar una complejidad indebida a los usuarios.

Si las políticas y la administración de contraseñas se vuelven demasiado arduas para los usuarios finales, encontrarán una solución que, en última instancia, expone a la organización a más riesgos que a menos.

5. Eduque a los usuarios sobre la seguridad de las contraseñas

Charles Poff: Para evitar riesgos innecesarios y proteger su identidad en caso de una infracción, los usuarios deben cambiar constantemente sus contraseñas y tomarse un minuto para cumplir con algunas de las mejores prácticas importantes de administración de contraseñas, como el uso de una contraseña única para cada aplicación o cuenta, y asegurándose de que la contraseña sea larga y compleja. Lo mejor que puede hacer es hacer que todas sus contraseñas sean únicas en cada sitio (no reutilice las contraseñas). Los usuarios también deben evitar duplicar sus contraseñas entre cuentas, especialmente en cuentas laborales y personales. Esto asegura que su identidad personalized no solo esté protegida, sino que también se salvaguarde cualquier información relacionada con su empleador en caso de una infracción.

Las infracciones que enfrentan los consumidores pueden extenderse más allá de las cuentas personales y exponer potencialmente a la empresa también. Las filtraciones de datos como esta pueden crear un efecto dominó en varias organizaciones mediante la reutilización de credenciales en cuentas personales y comerciales. Aquí es donde entra en juego la higiene de las contraseñas. Si bien las personas no pueden retroceder en el tiempo para proteger los datos que pueden haber sido comprometidos, pueden usar esto como una oportunidad para familiarizarse con las mejores prácticas de administración de contraseñas para evitar verse afectados en caso de que se produzca otra violación de esta. ocurra magnitud.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Por último, téngalo en cuenta: siempre esté consciente de dónde se encuentra en Net y tome nota específica de cualquier cosa o persona que le haya pedido que inicie sesión o que proporcione respuestas a preguntas secretas o que revele información individual.

Como industria, debemos educar, educar y educar. Desafortunadamente, todavía cometemos errores de novatos cuando se trata de contraseñas. Incluso si sentimos que somos tediosamente repetitivos y los requisitos pueden parecer excesivos, en typical es un beneficio para el usuario combatir el compromiso de la contraseña y la cuenta.

Daniel Murphy: Los usuarios deben comprender los conceptos de complejidad de las contraseñas. Históricamente, la guía se basaba en contraseñas cortas y complejas, pero esto ha sido refutado en los últimos años y el énfasis ahora está en la longitud sobre la complejidad. Creo que deberían ser ambos.

Luego, las frases de contraseña se basaron en esto y agregaron una longitud extrema a la ecuación. Son casi imposibles de descifrar y más fáciles de recordar en comparación con las contraseñas. El único problema puede ser que no todas las aplicaciones admitan su uso. Entonces, por ahora, si usa frases de contraseña, sin duda tendrá que usar algunas contraseñas también.

Los estándares por los que debe esforzarse son:

  • Una longitud mínima de 12 caracteres.
  • Que contengan letras mayúsculas y minúsculas
  • Que contenga al menos un número
  • Que contenga al menos un símbolo
  • Evite secuencias, p. Ej. 123
  • Evite palabras y lugares que le identifiquen, p. Ej. ciudad natal, nombres de niños, equipos deportivos

Ver también



Enlace a la noticia unique