Generar la política de contraseñas de sus clientes puede ser complicado porque necesita equilibrar la seguridad y la comodidad.
Demasiada comodidad y pierde seguridad.
Demasiado estricto, y nadie lo usará.
Como proveedor de servicios administrados, ¿cómo generar políticas de contraseñas que funcionen para todos? Primero, veamos algunos elementos clave que intervienen en la creación de una política integral.
1/ Complejidad de la contraseña
Hay varios aspectos en los que debe pensar al analizar la complejidad de la contraseña; aquí hay algunos factores comunes a considerar:
- Conjuntos de caracteres: una buena regla general es que las contraseñas deben contener al menos tres de los cuatro tipos de caracteres: mayúsculas, minúsculas, números y símbolos.
- Longitud de la contraseña: las contraseñas deben tener un mínimo de ocho caracteres, pero preferiblemente cerca de 15. Puede utilizar frases de contraseña para que las contraseñas largas sean más fáciles de recordar.
- Palabras prohibidas: las contraseñas nunca deben contener partes del nombre de usuario/inicio de sesión, el nombre del servicio o información personal, como la fecha de nacimiento o los números de identificación. Además, nunca utilice la misma contraseña en diferentes dispositivos, como la misma contraseña en enrutadores y acceso al servidor. Y el más importante para todos los usuarios: crear siempre contraseñas únicas; nunca emplees el mismo que tienes para aplicaciones como Facebook o LinkedIn, por ejemplo.
2/ Cambios de contraseña
¿Qué sucede cuando llega el momento de cambiar las contraseñas? Debe considerar cuidadosamente la frecuencia con la que se deben realizar esos cambios. Aquí hay algunas cosas para pensar:
- Historial de contraseñas: no reutilice contraseñas antiguas. No genere contraseñas «nuevas» simplemente cambiando un carácter.
- Restablecimientos forzados de contraseñas: los modelos tradicionales de restablecimiento de contraseñas dictaban que las contraseñas debían cambiarse al menos cada 180 días, idealmente cada 90 días. Sin embargo, los consejos y la orientación al respecto están comenzando a cambiar, como explica este artículo del instituto SANS.
Cada uno de los elementos anteriores ofrece algo diferente en la creación de contraseñas seguras. La complejidad produce contraseñas que son más difíciles de adivinar o atacar por fuerza bruta. No usar la misma contraseña en diferentes inicios de sesión ayuda a proteger todas sus cuentas en caso de que se infrinja una. Los restablecimientos de contraseña forzados ayudan a protegerse contra infracciones no descubiertas: al cambiar sus contraseñas periódicamente, aumenta sus posibilidades de tener una contraseña diferente cuando un actor malintencionado usa una extraída de una infracción. Recuerde también que, como MSP de una empresa, es su responsabilidad cambiar periódicamente las contraseñas administrativas de los dispositivos y servicios.
El papel de la autenticación de dos factores
Además, los usuarios deben utilizar la autenticación de dos factores (2FA) en todos los lugares donde esté disponible (aún no está disponible en todas partes, pero se está volviendo mucho más frecuente) y los servicios en línea más populares lo permiten como una opción. Funciona al combinar algo que conoce y algo que tiene (generalmente su teléfono) para crear un inicio de sesión más seguro. Al momento de escribir, es probablemente una de las mejores combinaciones disponibles de alta seguridad y facilidad de uso.
Comunicación de su política de contraseñas
Para los MSP, la parte más importante de una política de contraseñas es cómo se comunica a los clientes. En primer lugar, debe escribirse y estar fácilmente disponible como referencia al configurar nuevas cuentas. Algunos MSP incluso llegan al extremo de agregar su política de contraseñas a sus contratos, por lo que si no se sigue la política, el trabajo para remediar cualquier problema relacionado con las infracciones de contraseñas se vuelve facturable.
Mitigar el error humano
Dado que el comportamiento humano y el error son responsables de una parte sustancial de las infracciones en la actualidad (el Estudio sobre el costo de la filtración de datos de Ponemon Institute de 2018 descubrió que el 27 % de las fugas de datos fueron causadas por errores humanos), es muy importante educar a los usuarios finales sobre la importancia de la seguridad. contraseñas Solo puede hacer cumplir la política hasta cierto punto, la mayoría de las veces debe confiar en que los usuarios tomen un buen juicio al crear y mantener contraseñas.
Para ayudar en este proceso, muchos MSP realizan capacitaciones periódicas para sus clientes a fin de reforzar las pautas de seguridad adecuadas y educar sobre nuevas amenazas. Estas sesiones de capacitación pueden contar como tiempo facturable o, para un plan completamente administrado, pueden incluirse como parte de su tarifa mensual. Los beneficios generales para el MSP son menos problemas de seguridad y una relación más cercana, no solo con el contacto principal del cliente, sino también con sus usuarios finales.
La seguridad es de suma importancia hoy en día, y las contraseñas son la puerta de entrada a gran parte de la información y los servicios que representan los principales objetivos de la actividad maliciosa. Hacer cumplir una política sólida de contraseñas y educar a sus clientes sobre las contraseñas adecuadas son dos piezas clave del rompecabezas de seguridad y, con mucha frecuencia, las más difíciles de colocar. Usar el equilibrio adecuado entre seguridad y usabilidad lo ayudará a crear la política de contraseñas adecuada para sus clientes.