Las contraseñas están abocadas a la desaparición y más cuando los factores biométricos están cobrando cada vez más protagonismo como es el caso de la utilización de reconocimientos faciales o huellas digitales en los dispositivos móviles. Sin embargo, aún no ha llegado su hora y siguen formando parte de nuestro día a día. Con el fin de hacer un buen uso de ellas, podemos ponernos un objetivo muy sencillo: mejorar nuestra estrategia de contraseñas. No me refiero a usar requisitos draconianos, que al final las vuelven poco efectivas y tendemos a saltarnos sus reglas básicas. Si queremos evitar desanimarnos y no volver a las andadas usando contraseñas ‘de andar por casa’, hay que hacer que lo fácil sea lo correcto.
Reconozcámoslo, el uso de contraseñas seguras, únicas y aleatorias para cada servicio es una molestia –y de las grandes– pero, ¿hay solución? Por ejemplo, podemos optar por usar gestores de contraseñas, es decir, pequeños programas y extensiones que memorizan cada contraseña y permiten crear verdaderas joyas indescifrables.
Concienciación, la base para crear un buen hábito
La sociedad en la que vivimos nos ayuda a estar concienciados en este sentido ya que continuamente los medios de comunicación publican noticias relacionadas con ciberincidentes ocasionados por el uso inadecuado de las contraseñas, los cuales provocan daños irreparables a las compañías. Parece que no, pero la exposición regular a estas noticias hace que siempre tengas presente la problemática y comiences a desarrollar una cultura de seguridad más positiva. En consecuencia, si comprendes el impacto de utilizar contraseñas débiles, es más probable que elijas una más robusta.
Vayamos por partes. ¿Qué podemos hacer cuando nos ocupamos de las contraseñas personales? En este caso, podemos intentar llevar a cabo alguno de los siguientes pasos (si no todos):
- Longitud. Una contraseña de al menos 12 caracteres es realmente más complicada de descifrar.
- No usar palabras obvias, como ‘contraseña’ o tu nombre.
- Activar el doble factor de autenticación (2FA), siempre que se pueda. Esto hace que, automáticamente, la dificultad de poner en riesgo tu acceso aumente exponencialmente.
- Usar un gestor de contraseñas. Hay soluciones realmente buenas, alguna de ellas multiplataforma, que permiten disponer de los accesos allí donde los necesites.
- La guinda: usar herramientas de descifrado de contraseñas, contra tus propias contraseñas (en realidad usando sus hashes), para identificar aquellas que sean más débiles, aunque a ti no te lo parecía.
¿Cómo fortalecer la estrategia corporativa de contraseñas?
Si en la compañía que trabajamos nos encargan supervisar y mejorar nuestra estrategia corporativa de contraseñas, ¿qué podemos aportar?
- Prohibir el uso de las 10.000 contraseñas más utilizadas. Realmente en Internet podemos encontrar auténticos listados que deberíamos evitar.
- Bloqueos, totalmente necesarios. Si después de tres intentos no sabes la contraseña, vaya, realmente tienes un problema.
- Aprovecha el Threat Intelligence, es decir, integra los mecanismos de autenticación con servicios que comprueban que las contraseñas introducidas no están en los listados de contraseñas robadas de los últimos ciberincidentes.
- Conciencia a tus compañeros. La ayuda es fundamental y cuando se conocen las implicaciones de una mala acción, se consiguen grandes cosas.
Muchas veces es complicado poner en práctica lo anterior, así que al menos podemos marcar lo que no debemos hacer nunca:
- Nada de cambios regulares de contraseñas. La rotación regular demuestra que al final usamos patrones totalmente predecibles.
- Hemos hablado de una longitud mínima y no de complejidad. Cuando se usan herramientas de descifrado de contraseñas, realmente le importa bien poco al atacante cuántos caracteres especiales, números o letras mayúsculas contienen; lo realmente efectivo es su longitud. Por eso, si alguien es capaz de recordar más de 25 caracteres ¡genial! usemos un número máximo.
No está de más añadir que el uso de contraseñas débiles no se resuelve culpando a los usuarios que las crearon. Quizás no recibieron la ayuda adecuada para poder evitarlo. Los desafíos tecnológicos, culturales o de comunicación pueden ser un reto, pero la ciberseguridad no debe dejarse de lado.