Día mundial de la contraseña: las credenciales informáticas son tan importantes como las contraseñas protéjalas también


El experto analiza la importancia de mantener las credenciales internas de la computadora tan seguras como sus contraseñas. La necesidad de seguridad nunca desaparece.

Karen Roby de TechRepublic habló con Robert Haynes de Checkmarx, una solución de seguridad de software, sobre el Día Mundial de la Contraseña, el 6 de mayo de 2021. La siguiente es una transcripción editada de su conversación.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Karen Roby: Entonces, las contraseñas siguen siendo una cosa. Muchos pensaron que a estas alturas serían cosa del pasado, pero todavía están muy vivos y bien y, lamentablemente, todavía nos causan muchos problemas a los humanos cuando nuestras contraseñas se ven comprometidas por varias razones. Pero hoy, y me gusta esto, no estamos hablando tanto de humanos y de nuestras contraseñas y de los errores que cometemos, sino de contraseñas entre bastidores, máquinas hablando entre sí. Esto es algo en lo que se especializa. ¿Qué es lo que la gente necesita saber sobre esto?

Robert Haynes: Así como todos usamos contraseñas para acceder a las cosas que queremos hacer, como nuestra banca o nuestras redes sociales, en segundo plano, tenemos servicios de TI hablando entre sí. Al igual que necesitamos asegurarnos de que nos autenticamos, autenticamos estas contraseñas entre servicios. Entonces, tal vez necesito hablar con una foundation de datos o necesito hablar con un servicio en la nube. Obviamente, necesitamos autenticar eso. Vestimos contraseñas y las llamamos credenciales. Pero es lo mismo, esencialmente. Entonces, alguna forma de identificar que una vez que un servicio está hablando con otro, podemos saber quiénes son y probablemente haya tantos de esos flotando en Net como contraseñas humanas. Los resultados de que se vean comprometidos o se pierdan son igualmente importantes, si no peores.

Karen Roby: Ciertamente, los resultados pueden ser catastróficos para una empresa cuando se ve comprometida. Y creo que probablemente sorprendería a la gente si realmente no se detiene a pensar en ello, de nuevo, detrás de escena, estas contraseñas de credenciales están ahí fuera, pero eso es parte de la columna vertebral de algunas empresas y de cómo nos comunicamos.

Robert Haynes: Es la parte de todo. Necesitamos autenticarnos entre servicios. Pero si tengo las credenciales de otra persona, puedo hacer muchas cosas malas con ella. Y podría comenzar a extraer algo de Bitcoin con sus cuentas de Amazon, o podría acceder a una base de datos o podría cambiar su certificado de firma para que parezca que viene de mí y puedo hacer todo tipo de cosas terribles si tengo acceso a eso. Por lo tanto, tenemos que proteger esas credenciales de la máquina tan bien como protegemos nuestras credenciales de usuario.

Karen Roby: ¿Cómo lo hacemos mejor?

Robert Haynes: Ya sabes, hay muchos paralelismos entre cómo los usuarios cuidan sus contraseñas y cómo tenemos que hacer eso con las máquinas. El consejo común, que probablemente escuchemos muchas veces en el Día Mundial de la Contraseña, es quizás no escribir su contraseña en una nota adhesiva y dejarla en su escritorio. Así que haz lo mismo con las máquinas. Cómo almacena esas contraseñas en sus máquinas de alguna manera encriptada, cómo las pasa a sus sistemas, hágalo de una manera encriptada para que nadie más pueda ver. No los dejes tirados por ahí. Porque, por ejemplo, si dejo algunas credenciales por ahí y olvido que están en mi código, y quizás pongo mi código en un lugar de acceso público, como un GitHub u otro repositorio de código fuente, alguien lo encontrará realmente, realmente. rápidamente y lo van a utilizar. Asegúrese de almacenar nuestras contraseñas de forma segura, asegúrese de no decírselas a nadie. Gírelos. No makes use of el mismo en todas partes.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Todas estas son exactamente las mismas herramientas y técnicas que necesitamos usar dentro de las máquinas o dentro de los servicios que usamos en nuestro tipo standard de contraseñas de redes sociales.

Karen Roby: Como mencioné al principio, Robert, muchos dirían que pensaban que para este año, 2021, ya no estaríamos hablando de contraseñas. Y aquí es el Día Mundial de la Contraseña. Entonces, estamos hablando de ellos. Y creo que la gente ha venido y está empezando a darse cuenta de que «Oh, tal vez 12345 no sea la mejor contraseña». Entonces, estamos avanzando un poco, pero ¿habrá un día en el que no tengamos contraseñas? ¿Habrá un día en que el eslabón débil de los humanos a veces no esté involucrado? ¿Entonces ya no tenemos que preocuparnos por el compromiso? Esa es una gran pregunta. Entiendo que.

Robert Haynes: ¿Alguna vez tendremos que dejar de preocuparnos por la autenticación y la identificación? No. ¿Nos alejaremos de las contraseñas? Una contraseña es esencialmente un secreto que usted conoce, y cualquier cosa con la que esté tratando de hablar también lo sabe. Entonces, es como un secreto compartido. ¿Nos alejaremos de un mecanismo secreto compartido? Quizás, pero hay cierto grado de sencillez y facilidad. Si tengo esto y lo sé y tú sabes que lo sé, entonces puedo autenticarme. Entonces, es muy very simple. Es relativamente fácil de hacer. Es difícil alejarse de eso. Podemos ser cada vez más sofisticados al agregar factores adicionales allí. Como de dónde vienes, qué hora es, otras cosas.

Pero esencialmente el secreto compartido en el que me identifico como alguien que tengo, nos estamos acercando. Tenemos algún tipo de cosas de tipo clave pública a las que podemos ir, pero todavía dependen de que yo tenga algo. Siempre tendremos que proteger algunos secretos. Siempre tendremos que preocuparnos por esto de alguna manera, forma o forma. Con suerte, digo que no se reducirá tanto a las contraseñas y los nombres de usuario, pero siempre tendrá que haber alguna forma de identificar una cosa, una persona o un dispositivo hablando con otro dispositivo. Y siempre habrá alguien tratando de encontrar una forma de evitarlo. Entonces, nunca dejaremos de preocuparnos por eso. Realmente, independientemente de cómo cambiemos la forma en que nos autenticamos, siempre habrá alguien más tratando de espiarnos mientras lo hacemos.

VER: Ciberseguridad: no culpe a los empleados, haga que se sientan parte de la solución (TechRepublic)

Karen Roby: Si. Y eso es lo que da miedo, Robert, es que siempre hay alguien al acecho listo para atacar cuando las personas son vulnerables y nosotros hemos sido vulnerables este último año con tanta gente trabajando desde casa y los equipos de TI se han estirado al límite. La seguridad realmente está a la vanguardia ahora. Tiene que ser.

Robert Haynes: Si absolutamente. Y creo que la clave es que puedes olvidarte de todas las soluciones tecnológicas, puedes olvidar todas las cosas que la tecnología podría implementar. Mucho de esto todavía se lessen a capacitar y solo capacitar a los usuarios, capacitarnos a nosotros. Quiero decir, todos cometemos errores. Capacitarnos para estar seguros con la forma en que usamos nuestras contraseñas, dónde almacenamos nuestras contraseñas. Todas esas mejores prácticas que conocemos y la misma capacitación se puede aplicar a las personas que están desarrollando los sistemas que también estamos usando en segundo plano. Por lo tanto, capacitar a todos para que sepan cómo manejan los secretos sigue siendo muy importante.

Karen Roby: Tremendous importante. No importa el nivel de educación que tenga en lo que respecta a TI. ¿Derecha?

Robert Haynes: Absolutamente. Todos somos humanos. Todos cometemos errores. Todos necesitamos que nos lo recuerden. Al igual que el Día Mundial de las Contraseñas, debemos recordarnos que debemos verificar nuestras contraseñas.

Karen Roby: Sí. Ahora es el momento de hacerlo. Definitivamente. Realmente aprecio, Robert, que estés conmigo aquí hoy y hables de esto en el Día Mundial de la Contraseña, porque obviamente la ciberseguridad y todo lo relacionado con ella es algo de lo que podemos hablar básicamente todos los días.

Robert Haynes: Nunca desaparece.

Ver también



Enlace a la noticia first