La contraseña de la cuenta de usuario se almacena en algún lugar "en el usuario". El usuario es teóricamente responsable de proteger su propia contraseña. Lo ideal es que lo mantenga en su cabeza y lo escriba de nuevo cuando sea necesario.
A algunos (la mayoría) de los usuarios no les va a gustar, y en su lugar habilitarán el botón "recordar contraseña", que hará que el cliente de correo electrónico recuerde la contraseña. Si el cliente de correo electrónico es razonable y se ejecuta en un sistema operativo razonable, este almacenamiento puede estar algo protegido. Por ejemplo, en MacOS X, utilizando la aplicación "Mail" de Apple, las contraseñas de las cuentas se almacenarán en el llavero , que se almacena encriptada, la clave de descifrado es la contraseña principal del usuario (la que escribe para abrir una sesión o desbloquearla). De esa manera, la contraseña de la cuenta de correo electrónico nunca se almacena como equivalente de texto simple; un atacante que robe el disco duro completo de la máquina no lo encontrará de inmediato. (Pero no salvará al usuario contra un secuestro hostil pero discreto de la máquina, debido, al menos, a los registradores de claves).
Algunas otras aplicaciones y / o sistemas operativos no serán tan razonables como eso.
Entre posibles mitigaciones:
-
Cada usuario tendrá su propia cuenta y contraseña. Este, ya lo haces. Esto garantiza que una contraseña robada desbloquee la cuenta de un solo usuario, lo que es mejor que nada.
-
La contraseña de la cuenta de correo electrónico puede ser específica para el correo electrónico, y no se puede usar en ningún otro lugar, en particular para no abrir sesiones de SSH o RDP. A los usuarios no les gustará (realmente prefieren recordar una contraseña que dos ). Además, la mayoría de los sistemas de "restablecimiento de contraseña" recurren al correo electrónico, por lo que el robo de una contraseña de cuenta de correo electrónico puede abrir el acceso a muchos otros sistemas.
-
Implemente contraseñas de un solo uso . Los tokens de hardware como éste se otorgan a los usuarios. Las aplicaciones de correo electrónico no tendrán nada que ahorrar mal.
Sin embargo, la educación del usuario es de suma importancia.