En las
organizaciones cada vez cobra mayor importancia la protección de datos de los
clientes y la información corporativa. Se buscan métodos eficientes que
permitan minimizar el riesgo; el cual ante los métodos tradiciones de
autenticación y las malas prácticas de los empleados, ha aumentado las brechas
de seguridad y han permitido que los atacantes logren acceder a la información
que se supone debe permanecer privada.
Si hacemos un
breve análisis con respecto a las contraseñas, encontramos que básicamente
existen dos tipos de usuarios:
- Los que usan la misma contraseña para cada cuenta.
- Los que usan una contraseña ligeramente diferente para cada cuenta.
Este
comportamiento obedece a que el usuario promedio siente temor al olvido de la
contraseña y recae en la utilización de contraseñas muy débiles, que contienen
datos personales o familiares, fechas, teléfonos, números de identificación o
palabras relacionadas con su trabajo o actividad. Lo que les facilita
enormemente a los atacantes “adivinar” la contraseña.
A nivel general,
apenas el 1% de los usuarios son conscientes de la importancia de construir una
contraseña robusta; el resto de usuarios utilizan contraseñas que pueden ser
descifradas con facilidad, principalmente por los siguientes motivos:
-
Reutilización de contraseñas
-
Rotación de contraseñas
-
Adicionar un digito o
caracter
-
Incluso compartir la clave con
otras personas
Hace algunos
años, los usuarios solo tenían que preocuparse por memorizar una contraseña
para el correo electrónico y una clave para la tarjeta de crédito, en la
actualidad esta situación es muy diferente, ya que un usuario de negocios o
empleado promedio debe realizar un seguimiento de casi 30 servicios diferentes;
entre cuentas de correo, redes sociales, cuentas corporativas, servicios
bancarios, servicios del estado, etc.
Teniendo en
cuenta lo anterior, es cada vez más difícil para los usuarios memorizar tantas
contraseñas, por lo que se hace recurrente que utilicen la misma contraseña
para todos los servicios en línea, de tal forma que el atacante puede tomar el
control de todos los servicios y de la vida digital de esa persona. Por
ejemplo, al conocer la cuenta de correo, número de teléfono o nombres completos
del objetivo, mediante un servicio como https://pipl.com/
es posible encontrar que otros servicios están relacionados a los datos
proporcionados en la búsqueda.
Esta práctica
por parte de los usuarios, hace que las organizaciones se enfrenten a amenazas
constantes, a poner en riesgo la información y la reputación de la
organización; porque es evidente que ante una fuga de datos se pierde la
confianza por parte de los usuarios hacia la entidad que ha sido víctima del
ataque.
¿Porque
las contraseñas no están funcionando?
Este método de
autenticación se está tornando obsoleto en la actualidad, porque los usuarios
utilizan la misma clave para diferentes servicios, en ocasiones comparten sus
credenciales y para empeorar la situación nunca cambian la contraseña, aunque
siempre se recomiende cambio regular de claves. Para los usuarios las
contraseñas que son generadas por un gestor de claves resultan complejas, lo
cual hace que no usen este método. Por otra parte, la gran mayoría de los usuarios
tampoco hacen uso del segundo factor de autenticación, lo que hace en gran
medida más vulnerable a un ataque.
En el año 2003 Bill
Nurr, ex-director del National Institute of Standards and Technology de Estados
Unidos, aconsejó usar contraseñas de por lo menos 8 caracteres combinando
letras y números. Pero en el año 2017 en una entrevista a The Wall Street
Journal afirmó que su propuesta estaba equivocada, se había pasado de
contraseñas débiles a combinaciones simples de números y letras.
Recomendaciones en cuanto a contraseñas
Por el momento una
solución medianamente aceptable es construir frases o grupos de palabras; contraseñas
de 35 caracteres, que incluyan alguna ñ, ya que los principales mecanismos para
romper claves son en inglés, no cuentan con este carácter, lo que la hace más
difícil de romper. Por supuesto utilizar el mecanismo de doble factor de
autenticación.
Aunque el
problema sigue siendo el mismo, los usuarios no creen que exista alguien con
interés de acceder a sus cuentas y la imposibilidad de memorizar una contraseña
como D$%34ghty_jp*!2o800Iuñ es mucho más factible para los usuarios crear
contraseñas complejas y distintas para cada servicio del tipo:
_$0l0$3qu3n4d4$3% (solo sé que nada sé) la cual al verificarla en el servicio de https://howsecureismypassword.net/
arroja el siguiente resultado:
El tiempo en
romper esta clave es de 1 cuatrillón de años, ahora veamos que sucede cuando
agregamos una Ñ al final:
El resultado
pasa de 1 cuatrillón de años a 852 sextillones de años; No obstante, si
persisten las malas prácticas por parte de los usuarios la contraseña, por más
segura que esta sea no garantiza protección total de la información.
Para concluir la
era de las claves y contraseñas personales esta próxima a su fin, por tal
motivo se está trabajando en otros mecanismos de autenticación, como Factores
de autenticación múltiples, logueo sin contraseña, Autenticación basada en el
riesgo (alertas sobre actividad sospechosa en la cuenta) y dispositivos
biométricos.
Compartir...
Siguenos en twitter: @disoftin
1 Comentarios
Es hora de implementar un mecanismo diferente de autenticación.
ResponderEliminar