La siguiente política de contraseñas de ejemplo tiene en cuenta el estado de la técnica sobre el rendimiento y las capacidades de varios tipos de ataques a sistemas criptográficos en 2020. Si es posible, intentaré actualizarlo (cuando resulte que ya es demasiado débil).
Las contraseñas estáticas en los sistemas de TI deben:
- tener una longitud no inferior a 12 caracteres;
- contienen caracteres de al menos tres de las cuatro categorías siguientes:
- caracteres grandes de la A a la Z
- caracteres pequeños de la a a la z
- dígitos del 0 al 9
- caracteres especiales (por ejemplo, !,.$^)
- Ser diferente de las 1.000 contraseñas más populares
- No incluya palabras que sean su nombre de usuario, nombre de la empresa, nombre de la aplicación, dirección de correo electrónico, nombre, nombre de usuario;
- almacenarse de forma segura mediante funciones como bcrypt o PBKDF2;
Una gran cantidad de información útil sobre la política de contraseñas y la implementación correcta y segura del proceso de autenticación se puede encontrar en los materiales OWASP – Hoja de trucos de autenticación
En la mayoría de los casos, no sabe cómo se almacenan sus contraseñas en los sitios web. Es posible que el administrador no haya implementado ningún mecanismo para proteger los datos. Es por eso que tienes que mantenerlos a salvo. Para protegerse del escenario de fuga de su contraseña de un sitio web y el atacante que usa esa contraseña en otro portal donde tiene una cuenta, debe usar una contraseña diferente en cada página. Dada la multitud de portales en los que rotamos hoy en día y la complejidad de los eslóganes citados en la política anterior, es eriteridad recordarlos a todos. Aquí, un administrador de contraseñas viene en nuestra ayuda. Recuerdas una contraseña complicada, y el resto se encargará de ella. Uno de los administradores de contraseñas seguros y recomendados es KeePass.
El uso de administradores de contraseñas tiene una serie de ventajas adicionales, como:
- Generar automáticamente contraseñas complejas y seguras
- Copias de seguridad automáticas
- Acceda a sus contraseñas en múltiples dispositivos (por ejemplo, a través de gdrive)
- La capacidad de sincronizar datos entre dispositivos;
- Cifrado automático de datos
- cumplimentación automática de formularios en los sitios web;
Para mejorar aún más la seguridad de nuestros datos, es una buena idea ejecutar la autenticación de dos factores siempre que sea posible. Durante muchos años, este servicio ha estado disponible en servicios como Facebook, Gmail, y recientemente los bancos se han unido a este grupo como resultado de los requisitos legales. Un factor adicional de autenticidad, por ejemplo, en forma de un código sms que llega a su teléfono, aumenta significativamente el nivel de seguridad de su cuenta.
Las contraseñas nos rodean en todas partes. Con la tendencia cada vez mayor de los ataques en línea, vale la pena mejorar el nivel de seguridad de sus datos. La introducción de una directiva de contraseñas es una buena manera de hacerlo.