¿Cómo puedo asegurarme de que las contraseñas predeterminadas ya no estén en uso?

Tanto depende del contexto - vea el comentario de @nealmcb.

Si es para un sistema operativo, la mayoría de los sistemas operativos de estos días ofrecen una configuración para "cambiar en el primer uso"

Si es para una aplicación que usted controla, no proporcione a los usuarios una contraseña predeterminada; genere una contraseña única para ellos que caduque con el primer uso.

Si se trata de un dispositivo enviado por el proveedor, es más complicado, a menos que pueda convencerlo para que lo haga por usted.

En resumen: varias opciones diferentes, pero debe colocar la pregunta en contexto o puede que no obtenga respuestas útiles. Consulte la sección "qué antecedentes" en las preguntas frecuentes .

  

Una forma en que he leído es tener una contraseña predeterminada que diga que "admin'sname" es una especie de contraseña. La mayoría de los usuarios cambian eso. ¿Se te ocurre algo más?

Use sistemas que no tengan una contraseña predeterminada.

  

Un nuevo usuario está registrado. En su paquete de registro, junto con su nuevo nombre de usuario, dirección de correo electrónico, etc., está su contraseña inicial.

Hay que tener en cuenta varias cosas aquí.

En primer lugar, ¿cómo se transfieren el nombre de usuario y la contraseña al usuario? ¿Se transmite en papel o se envía a un intermediario (es decir, Supervisor o Asistente de administración) por medios electrónicos? Si es el primero, debe guardarse en un paquete sellado, opaco, a prueba de falsificaciones desde el administrador del sistema hasta el usuario. En este último caso, el administrador del sistema debe transmitir la información a través del correo electrónico cifrado al intermediario, quien luego utiliza un paquete seguro (como se describió anteriormente) para transferirlo al usuario. Sin embargo, es preferible que no haya terceros involucrados en esta transacción; idealmente, solo el administrador del sistema y el usuario deben tener conocimiento o acceso a la contraseña por primera vez. Lo más preferible sería que solo lo tenga el usuario, pero esto no es posible en algunos escenarios, como para cuentas de dominio o correo electrónico.

Segundo, las contraseñas por primera vez siempre deben ser únicas y no se pueden determinar con ninguna información exclusiva del usuario. La mejor manera de garantizar esto es utilizar una herramienta de generación de contraseña aleatoria y no reutilizar las contraseñas generadas entre los usuarios. Idealmente, el nombre de usuario tampoco debe tener relación con ninguna información de identificación personal.

En tercer lugar, el mecanismo para garantizar que se cambien las contraseñas por primera vez depende mucho del entorno en el que se crea la cuenta. Muchos sistemas tienen una opción que se puede configurar en las cuentas para obligar al usuario a cambiar la contraseña en su próximo iniciar sesión. Si está disponible, es el medio más eficaz y debe utilizarse. Para los sistemas que no cuentan con dicha función, queda muy dependiente del usuario para cumplir con la política de la compañía. Esto puede ser ayudado si se incluye un aviso claro y prominente sobre cómo cambiar la contraseña en el paquete de registro. Además, usar una contraseña muy larga y compleja (alrededor de 20 o más caracteres aleatorios que usan todos los tipos de caracteres disponibles) la primera vez, la contraseña hará que el usuario esté más inclinado a cambiarla.

Por último, si está tomando las medidas adecuadas como se especificó anteriormente, puede ser difícil auditar los cambios de contraseña. Si está utilizando una herramienta de descifrado de contraseñas como Ophcrack o LophtCrack para verificar esto, tendrá que agregar la primera contraseña de cada individuo a la tabla del arco iris a medida que se crean. Algunos sistemas incluyen la capacidad de verificar la antigüedad de la contraseña del usuario y el último momento de inicio de sesión; estos pueden compararse con la fecha de creación de la cuenta y la fecha de inicio del usuario para ver si el usuario la cambió en el primer inicio de sesión. Aparte de esos métodos, la alta seguridad de las técnicas descritas anteriormente hace que la verificación de los cambios de la contraseña por primera vez sea casi tan difícil como explotar la contraseña de la primera vez.

  

Se implementa una nueva pieza de hardware. En su estado de fábrica, tiene una contraseña de administrador predeterminada para que pueda ingresar y configurar el hardware.

Hay algunas medidas que se deben tomar aquí, que pueden hacer que la contraseña por primera vez sea más segura y ayudar a facilitar y verificar su cambio.

La primera pieza viene en la adquisición de materiales. Intenta comprar solo hardware que:

• No tiene una contraseña por primera vez y no funcionará hasta que el administrador del sistema haya configurado una contraseña.

• Si tiene una contraseña por primera vez, utiliza una que se genera de forma única para cada dispositivo y no se reutiliza entre unidades.

Después de esto, la única manera de asegurarse de que se cambien es a menudo a través de una auditoría práctica del sistema, verificando si las credenciales por primera vez siguen siendo válidas.

Pruebe las contraseñas periódicamente y asegúrese de que estén en su diccionario.

Sin información / contexto adicional, una forma podría ser establecer una frase de contraseña larga y compleja que sería tediosa escribir repetidamente.

Si el sistema lo admite, sería preferible "cambiar en el primer uso".

Nuestras contraseñas predeterminadas del sistema son de un solo uso y nuestras contraseñas de aplicaciones son predeterminadas especiales dependiendo de la aplicación. Sabemos cómo se ve la contraseña predeterminada en cada aplicación, por lo que es fácil buscar los valores predeterminados y llegar a las partes ofensivas.