El episodio 436 de Security Weekly tenía una sección sobre descifrado de contraseñas que vale la pena revisar si esto es Nuevo terreno para ti. Sobre la efectividad, puedes tener largas discusiones, como lo han demostrado los hackeos recientes. Todas las políticas de contraseña básicamente obligan a las personas a crear contraseñas en un espacio de nombres más pequeño y luego sin políticas de contraseña estrictas. Hoy en día, la mayoría de las contraseñas comienzan con un carácter de capital y terminan con uno o más números que en la mayoría de los casos reflejan el mes o el año.
Y venderlo a la gerencia depende de la organización. Hacia mi cliente actual fue más fácil venderlos y detectar antes un (posible) abuso con un desbloqueo y restablecimiento más sencillo de las cuentas, y agregar dos factores de autenticación para servicios públicos o servicios con datos / procesos / cuentas de alto riesgo. Además, un buen proceso de unión y abandono automatizado redujo mucho el riesgo.
¿Todavía hacemos una contraseña de crack? Sí, pero en su mayoría incidental durante una auditoría. La razón principal fue que asignamos el dinero a otras medidas preventivas ya que no pudimos verificar si las contraseñas no se reutilizaron fuera de la empresa, por ejemplo. Nosotros, desde "seguridad y cumplimiento", pasamos del departamento sin cargo al departamento que le permite a la empresa hacer sus negocios de forma segura y con menos riesgos. Esto resultó en horas más productivas y menos interrupciones para los clientes y usuarios.
Así que descubra cómo puede motivar a su administración, ya que algunos quieren tener todas las garrapatas que deben tener para el auditor / contador y no quieren pagar de más. Otros pueden estar dispuestos a arriesgarse y poner algo de dinero en efectivo, siempre y cuando puedan obtener mayores ganancias.
Desde un punto de vista técnico, es genial tener más conciencia y llevar a su organización a un nivel superior.