Cómo las contraseñas débiles pueden poner en riesgo a su organización


Se descubrió que los empleados de las empresas Fortune 500 usaban contraseñas que podrían piratearse en menos de un segundo, según NordPass.

concepto de contraseña

Imagen: iStock / sasun bughdaryan

Depender de las contraseñas para la seguridad se ha vuelto cada vez más problemático. Diseñar y recordar una contraseña compleja para cada cuenta y sitio world-wide-web es prácticamente imposible por su cuenta. Sin embargo, el uso de contraseñas simples y débiles es una receta para las violaciones de datos, la apropiación de cuentas y otras formas de ciberataques. Un informe publicado el miércoles por el administrador de contraseñas NordPass analiza las repercusiones de las contraseñas débiles y sugiere formas de mejorar la higiene de sus contraseñas.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Por su informe «Las desafortunadas contraseñas de las empresas Fortune 500, «Los investigadores de NordPass analizaron datos de infracciones públicas de terceros que afectaron a las empresas Fortune 500. Los datos incluían detalles de más de 15 millones de infracciones en 17 industrias diferentes.

Los investigadores observaron las 10 principales contraseñas utilizadas en cada industria, el percentil de contraseñas únicas y la cantidad de violaciones de datos que afectan a cada sector.

La palabra «contraseña» todavía se usa y se usa indebidamente como la contraseña más común en todas las industrias, incluido el comercio minorista y el comercio electrónico, la energía, la tecnología, las finanzas e incluso las TI y la tecnología. Entre otras contraseñas en la lista de las diez principales, algunas opciones comunes fueron «123456», «Hello123» y «sunshine».

Alrededor del 20% de las contraseñas descubiertas eran el nombre exacto de la empresa o una ligera variación de la misma, como el nombre de la empresa seguido de un número o año. La industria de la hospitalidad cargó con la mayor cantidad de contraseñas que eran el nombre de la empresa o una variación.

Los empleados de algunas industrias recurrieron a sus propios tipos específicos de contraseñas débiles. La palabra «muñeco de nieve» period una contraseña well-known para el sector energético. La palabra «Beneficio» period común para el sector financiero. Y la palabra «myspace1» fue muy well-liked para el sector de los medios y la publicidad.

VER: ¿Seguridad adicional o riesgo adicional? Professionals y contras de los administradores de contraseñas (TechRepublic)

Algunas de las contraseñas débiles descubiertas parecen casi cómicas, pero esta tendencia tiene serias ramificaciones. Las contraseñas débiles son en realidad una de las principales vulnerabilidades que conducen a violaciones de datos.

Como un ejemplo mencionado por NordPass, una planta de tratamiento de agua de Florida que sufrió una violación de la computadora el mes pasado no solo estaba ejecutando una versión no compatible de Windows sin firewall, sino que estaba usando la misma contraseña compartida de TeamViewer entre sus empleados.

En otro ejemplo, el infame hack de SolarWinds puede haber sido provocado en parte por alguien que usó una contraseña de «solarwinds123» para proteger un servidor seguro. Aunque los funcionarios de la compañía han negado que la contraseña débil desempeñara un papel, un experto en seguridad advirtió a SolarWinds sobre la contraseña incorrecta, pero tardó dos años en cambiarla.

Un informe de IBM citado por NordPass encontró que el costo global promedio de una violación de datos es de $ 3.86 millones. Una violación de datos en la industria de la salud cuesta significativamente más, alrededor de $ 7.13 millones. Además, las violaciones de datos en los Estados Unidos se encuentran entre las más costosas del mundo, con un promedio de $ 8,64 millones.

Para ayudar a las organizaciones y las personas a adoptar mejores hábitos de contraseñas, NordPass ofrece las siguientes pautas:

Utilice contraseñas complejas y actualícelas periódicamente. Los expertos en seguridad coinciden en que una contraseña segura contiene al menos 12 caracteres, letras mayúsculas y minúsculas, números y símbolos especiales. Para crear una contraseña compleja y segura de forma rápida y sencilla, intente utilizar un generador de contraseñas, que se puede encontrar en la mayoría de los administradores de contraseñas. Pero debido a las frecuentes violaciones de datos que a menudo exponen las contraseñas, evite reutilizar sus contraseñas en diferentes sitios y cuentas y actualícelas con regularidad.

Usa un administrador de contraseñas. Hacer malabares con una contraseña compleja diferente para cada cuenta es inviable sin ayuda. Considere la posibilidad de adoptar un administrador de contraseñas dentro de su empresa. Esta herramienta proporciona una forma segura de almacenar, compartir y administrar contraseñas en un solo lugar. Muchos proveedores ofrecen versiones comerciales con funciones de seguridad adicionales para clientes empresariales. Más allá del propio producto de NordPass, otros administradores de contraseñas incluyen LastPass, Dashlane, Bitwarden, 1Password y RoboForm.

Utilice la autenticación multifactor o un inicio de sesión único. La autenticación multifactor requiere que proporcione dos o más factores de verificación para acceder a una cuenta o aplicación en línea. El principal beneficio de MFA es que mejora la seguridad de su organización al pedirles a los usuarios que se identifiquen por algo más que un nombre de usuario y una contraseña. Otra strategy es aprovechar el inicio de sesión único y la sincronización de contraseñas. Con el inicio de sesión único, es menos probable que los empleados vuelvan a prácticas incorrectas de contraseñas, como crear contraseñas comunes o escribirlas.

Eduque a sus empleados. Los profesionales de TI y seguridad deben concienciar a sus compañeros de trabajo de la importancia de la seguridad de las contraseñas. Explíqueles por qué mezclar su trabajo y sus cuentas personales puede ser peligroso. Evitar los malos hábitos de las contraseñas garantiza que la identidad individual de un empleado esté protegida y que los datos de la empresa estén protegidos en caso de una infracción. También es posible que deba considerar el establecimiento de políticas de contraseñas para toda la empresa.

Ver también



Enlace a la noticia primary