Considere el supuesto de que estamos tratando con sistemas que manejan información secreta que es crucial para la existencia de una organización. Me gustaría saber cuál es un buen equilibrio entre los requisitos de seguridad y la facilidad de uso en lo que respecta a la complejidad de las contraseñas, la política de cambio de contraseñas, los requisitos de factores de autenticación múltiple, etc.
¿Existen mejores prácticas para este tema?
Conozco varias situaciones que podrían poner en peligro la seguridad debido a una política severa:
- Anote las contraseñas, ya que son muy difíciles de recordar o porque tiene que cambiarlas con mucha frecuencia.
- Permitir intencionalmente la tarjeta PKI en las computadoras portátiles, incluso cuando están desatendidas.
- Guardando la contraseña en texto plano tampoco. Peor aún cuando utilizan archivos de Excel que ofrecen un amplio menú de usuarios y contraseñas para piratas informáticos.