Mejores políticas de contraseñas:
Fuerte, administrado y seguro.
Strong
- largo (12 o más caracteres)
- se requiere el juego de caracteres completo (superior, inferior, número, símbolo)
- no hay palabras completas
- no hay información personal si se basa en una palabra
gestionado
- mantenido en un lugar seguro en caso de que se necesite una búsqueda
- cambiado regularmente
- no es lo mismo que el pase anterior
- mantenido hash en una base de datos detrás de una contraseña completamente aleatoria (de fuerza insana) o en una base de datos no conectada a la red que requiere acceso físico seguro
secure
- la recuperación se realiza en persona o en canales seguros completos
- las contraseñas se revisan antes de cambiarlas (ya sea de forma automática o programada)
- ningún usuario conoce la contraseña de otro usuario (si se descubre que tienen y no tienen una buena razón para ello, forzar un cambio de contraseña)
- opción para la autenticación de 2 factores para que sea más segura
estos consejos son los mejores para la seguridad de la contraseña y, a menudo, se utilizan a nivel empresarial.
Acerca del factor 2 y algunos problemas con él:
Por supuesto, esa opción para la autenticación de 2 factores a menudo se lanza como un "¿Por qué no usar la autenticación de 2 factores entonces"? Bueno, en realidad hay una razón para esto: probablemente debería tener cuentas que traten con datos confidenciales . Oh, espera, sí, también hay algunos escollos:
Para todos los demás, esto agrega una capa física de autenticación que cuesta dinero, tiempo y configuración, además de ejecutar o contratar un servicio para generar, y mantener la autenticación sincronizada. Con las ubicaciones en red y fuera del sitio posibles, esto puede ocasionar algunos problemas si no se maneja correctamente, y con el tiempo siempre necesita mantenimiento. Peor aún, la pérdida de keygen es un problema común , por lo que se necesitan copias de seguridad en el sitio para ser entregadas, y si en un viaje de negocios 2 el factor conduce a un gran problema si se pierde. Luego, se les enseña cómo usarlos y se les obliga a seguir teniendo contraseñas seguras. Esto toma mucho tiempo para comenzar a funcionar (dependiendo del tamaño de la empresa, esto podría llevar a una revisión completa de TI) y requiere capacitación y personal dedicado a mantenerlo.
TL,DR:
Implemente contraseñas seguras y hable con la compañía acerca de la política y el mantenimiento de las contraseñas. Luego, ofrezca la opción de 2 factores (y, si es necesario, fuercela en algunos lugares) También siempre revise las contraseñas (ya sea manualmente o por medio de un algoritmo) para confirmar que no son fáciles de descifrar o que contienen información de identificación personal. Estas mejores prácticas son suficientes para mantener a muchas compañías seguras. Sin embargo, nunca olvide que las contraseñas son solo una parte de la seguridad cibernética.
En cuanto a la entrega de contraseñas aleatorias ... bueno, inicialmente esto está bien, pero eventualmente debe rotarse, y si ese es el caso, entonces debe dejar que elijan para que puedan recordarlo más fácilmente. Si no pueden recordarlo, seguirán fallando en el inicio de sesión, la carga de TI aumentará debido a las contraseñas olvidadas, y luego escribirlas en notas adhesivas y perderlas ahora se convertirá en un vector de ataque, o mantenerlas en un correo electrónico personal con una contraseña débil , todo tipo de cosas malas, etc. Sería mejor instruirlos sobre cómo crear una contraseña segura, larga, segura y fácil de recordar, como la siguiente:
R4nD0ms7 @ Pl312eM0 / 312
es un removedor de grapas al azar. Buena suerte identificando eso de un vistazo, o rompiéndolo. ¡Pero espera que ya hayas memorizado la base!