Cómo los malos hábitos de contraseñas ponen en riesgo a su organización


Más de la mitad de los ciberataques informados a Keeper Stability involucraron credenciales robadas.

Concepto de contraseña fácil. Mi contraseña 123456 escrita en un papel.

Imagen: Getty Photographs / iStockphoto

Los ciberdelincuentes utilizan algunas tácticas clave para intentar violar la red interna de una organización. Un método siempre well-liked es obtener las credenciales de cuenta de los empleados. Y ese esfuerzo se hace más fácil cuando los empleados no practican una buena higiene de contraseñas. Un informe publicado el martes por el proveedor de seguridad Keeper Protection analiza los peligros de las contraseñas mal administradas y ofrece consejos sobre cómo mejorar los hábitos de uso de contraseñas de sus empleados.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Por su «Informe de negligencia de contraseñas en el lugar de trabajo, «Keeper Security encuestó a 1,000 trabajadores a tiempo completo en los EE. UU. Sobre sus hábitos de uso de contraseñas. Completada en febrero, la encuesta obtuvo respuestas solo de personas que usaban contraseñas para iniciar sesión en cuentas en línea relacionadas con el trabajo.

Malos hábitos de almacenamiento de contraseñas

Más de la mitad de los encuestados dijeron que escriben sus contraseñas en línea en notas adhesivas, pero casi dos tercios de ellos admitieron haber perdido estas notas. Esta práctica pone en riesgo los datos confidenciales y genera más llamadas a la mesa de ayuda de usuarios que necesitan restablecer sus contraseñas.

Alrededor del 62% de los encuestados dijeron que almacenan las credenciales de su cuenta en un cuaderno o diario, que muchos guardan al lado o cerca de sus dispositivos de trabajo. Pero esto significa que cualquiera en el lugar de trabajo o cualquier persona en casa puede ver estos portátiles si el empleado está trabajando de forma remota. De hecho, la mayoría de los trabajadores dijo que es más possible que escriban contraseñas relacionadas con el negocio en casa que en la oficina.

Incluso aquellos que dependen de métodos digitales para almacenar sus contraseñas pueden hacerlo de manera arriesgada. Alrededor del 49% de los encuestados dijeron que guardan las contraseñas relacionadas con el trabajo en un documento almacenado en la nube, el 51% las guarda en un documento almacenado en su computadora y el 55% las guarda en su teléfono. En cada caso, almacenar contraseñas en un documento no cifrado y no seguro es riesgoso, ya que un ciberdelincuente que obtiene acceso a ese archivo puede ver sin esfuerzo todas las contraseñas de los empleados.

Hábitos débiles de contraseñas

Muchos empleados todavía crean contraseñas simples y débiles. Una contraseña segura debe contener letras mayúsculas y minúsculas, números y caracteres especiales. Pero algunos de los encuestados no siguen esas pautas. Muchos dijeron que han usado el nombre de su empleador o el nombre o la fecha de nacimiento de una pareja en una contraseña de trabajo. Otros han utilizado el nombre o la fecha de nacimiento de su hijo.

La reutilización de contraseñas también es un problema evidente. Alrededor del 44% de los encuestados dijeron que reutilizan contraseñas en cuentas personales y relacionadas con el trabajo, mientras que el 53% mantiene cuentas personales protegidas con contraseña en sus dispositivos de trabajo. Cualquier pirata informático que obtenga una contraseña para una cuenta puede verificar y comprometer fácilmente otras cuentas que usen la misma contraseña.

Hábitos deficientes para compartir contraseñas

Muchos empleados también comparten contraseñas relacionadas con el trabajo con partes no autorizadas, lo que pone en riesgo a las organizaciones si una contraseña termina con alguien que es descuidado o tiene intenciones maliciosas. Entre los encuestados, el 14% dijo que ha compartido contraseñas relacionadas con el trabajo con su cónyuge o pareja y el 11% ha compartido esas contraseñas con otro miembro de la familia.

Las contraseñas también se comparten comúnmente en el lugar de trabajo. Casi la mitad de los encuestados (46%) dijo que su empresa comparte contraseñas de cuentas utilizadas por varias personas. Alrededor del 34% ha compartido contraseñas relacionadas con el trabajo con colegas del mismo equipo, el 32% ha compartido dichas contraseñas con sus gerentes y el 19% las ha compartido con su equipo ejecutivo.

Además, muchas organizaciones no están tomando medidas drásticas contra el intercambio de contraseñas. La mayoría de los encuestados (62%) dijeron que habían compartido contraseñas a través de mensajes de texto o correo electrónico. Casi un tercio (32%) dijo haber accedido a una cuenta en línea que pertenecía a un empleador anterior, una indicación de que las cuentas no se están desactivando o incluso restableciendo cuando alguien deja la empresa.

Recomendaciones

Para ayudar a las organizaciones a ejercer un mayor manage sobre sus hábitos de uso de contraseñas, el cofundador y director ejecutivo de Keeper, Darren Guccione, citó algunas herramientas y tecnologías diferentes.

Inicio de sesión único. Las soluciones de inicio de sesión único son útiles para autenticar el acceso a aplicaciones basadas en la nube que cumplen con SAML. Pero no brindan la flexibilidad y seguridad necesarias para las aplicaciones nativas y los metadatos. Aquí es donde una plataforma integral de seguridad y administración de contraseñas se vuelve basic.

Plataforma de gestión de contraseñas. Este tipo de plataforma genera automáticamente contraseñas aleatorias únicas y de alta resistencia para todos sus sitios y aplicaciones y las almacena en una bóveda electronic cifrada private a la que puede acceder desde cualquier dispositivo, ejecutando cualquier sistema operativo. Los mejores productos se integran con SSO para proporcionar una solución integral para la empresa en aplicaciones nativas y en la nube.

Monitoreo de la Darkish World wide web. Además de la administración de contraseñas, se debe utilizar un servicio de monitoreo de la net oscura. Se han robado miles de millones de nombres de usuario y contraseñas de violaciones de datos públicos y se han colocado en la Dark Net. Es importante saber si los ciberdelincuentes comercializan las credenciales de los empleados en la Dark Net y, posteriormente, se dirigen contra las cuentas y los activos en línea de la organización.

Ver también



Enlace a la noticia unique