Mi columna en Invertia de esta semana se titula «Las malditas contraseñas» (pdf) hace eco de un estudio reciente sobre el uso de contraseñas que toma como muestra directivos de compañías, y que viene a demostrar lo que ya todos sabemos desde hace mucho tiempo: que del mismo modo que ocurre con los usuarios en general, los directivos de compañías también tienden en gran medida a escoger contraseñas completamente inútiles y absurdas, desde las consabidas «123456789» o «qwerty123», hasta «password» o nombres comunes de los que cualquier delincuente de medio pelo encuentra en un instante en un ataque de diccionario.
El caso de los directivos, sin embargo, tiene un problema adicional, y es que su nivel de responsabilidad y, por lo general, de acceso, hace que las posibles consecuencias de averiguar su contraseña sean potencialmente mucho más importantes. En la práctica, un directivo que utiliza una contraseña de baja seguridad es un irresponsable que podemos homologar a una persona que saliese de su empresa dejando la puerta abierta y la alarma desconectada, algo que debería incluso considerarse una causa de despido procedente.
A estas alturas, con los años que han pasado ya desde que comenzamos a utilizar contraseñas, y en pleno furor de ciberataques, lo mínimo que puede exigirse a la clase directiva es la responsabilidad necesaria como para saber no solo escoger una contraseña decente, sino también tener la cultura necesaria como para no demandar estupideces a sus empleados como que cambien su contraseña cada poco tiempo, una práctica absurda que no solo mejora la seguridad de una compañía, sino que la debilita, porque lleva a los usuarios a escoger peores contraseñas.
Pero idealmente, lo que tenemos que defender es el uso de gestores de contraseñas a nivel corporativo, no solo por el plus de seguridad que ofrecen, sino también por las posibilidades de gestión centralizada que benefician, por ejemplo, un seguimiento de las contraseñas que aparecen en dumps publicados. La mejor contraseña es la que no solo no podemos aspirar a sabernos, sino que además, nadie en su sano juicio intentaría teclear.
Mientras sigamos teniendo que utilizar contraseñas, que seguramente ya no les quede tanto, tendremos que, como mínimo, dotarnos de la cultura mínima necesaria para utilizarlas. Lo contrario es, cada vez más, una imperdonable irresponsabilidad.
This article is also available in English on my Medium page, «Cybersecurity: there’s really no excuse for not using a password manager»
«una práctica absurda que no solo mejora la seguridad de una compañía, sino que la debilita» (EDans).
Me recuerda algo que no era exactamente así, pero se puede hacer un amaño comparativo, ya que suponía pedir a los que hacian guardia (jugando entre chavales) andar cambiando la contraseña cada dos por tres, con el peligro de que la mala memoria, el poco interés por sudar en pensar un poco y el escaso vocabulario, hacía que al final la contraseña no valía ni para el que la había parido… y era todo analógico. Eso sí demostraba fehacientemente la inutilidad de quien quería mandar (para presumir).
He pasado de una empresa con 35 empleados a una con 5500. Lo interesante es que a los 35 los forcé a tener KeePass en OneDrive.
Ahora con los 5500 me he encontrado que usan notepad, excel y word. Sin enceiptar ni ficheros ni discos y todos en modalidad híbrida. Es un desastre a punto de suceder…
Ni siquiera sé a quien dirigirme
En empresas de ese tamaño, y de más de 25 personas, no se utilizan gestores de contraseñas o FIDO, lo normal sería usar un servicio de directorio con single sign-on (SSO) y aplicaciones OTP, passwords de un solo uso.
Duran entre 20 y 30 segundos y no hay que almacenar ninguna contraseña. No es necesario que sea multifactor.
Es lo que se llama ‘login passwordless’
Los gestores de contraseñas son para particulares o empresas muy pequeñas, sin infraestructura.
almacenar las contraseñas de una empresa en Onedrive es tan mala idea como en un excel.
El problema de los directivos es que están sobrepasados por la complejidad de la tecnología actual, necesaria para gestionar una empresa de hoy en día, y carecen de los rudimentos más básicos. (Zoom y Skype)
Si a eso le añades una formación basada en gurús de la transformación digital y el management, pues ya está liada.
(No lo conoces, porque eres desarrollador y es muy mala idea que un programador se encargue de las devops.)
–
Disclaimer
El desconocimiento de la tecnología no exime de su compliance.
Lo malo es cuando un blog se convierte en un deja-vù
¡¡Pues vaya!!, forzar a usar el colador de keepass y además en Onedrive. Los lobos con piel de cordero te lo agradecerán, NSA incluida. Por no hablar de vulnerabilidades como utilizar http para buscar actualizaciones.
Al menos no es como LastPass que encima te quieren cobrar por su colador… que para no aburrir a los corderos, relean posts en este mismo blog.
¿El mejor método? Preguntarle a Gorki !!
Pues espera que llegue un periodo de vacaciones y se empiecen a dar unos a otros, todos los empleados de la compañía, incluido los altos cargos, sus contraseñas, para que puedan entrar con su password en caso de necesidad.
Peor….
Que el jefe de departamento tenga un listado con las contraseñas de todos los que cuelgan por debajo, y que las vaya cantando a medida que se le piden…
Verdad verdadera que esto, ha pasado… XDDD
Quizá podrías dedicar una entrada (si no lo has hecho ya) a FIDO. Parece que los grandes están de acuerdo en que el tiempo de las contraseñas se acaba.
https://www.europapress.es/portaltic/ciberseguridad/noticia-apple-google-microsoft-respaldan-estandar-fido-futuro-contrasenas-20220505143244.html
El futuro de la introducción de credenciales pasa por la autentificación de doble factor (2FA) ya sea como envio SMS al móvil registrado o bién con App autentificadora en el móvil.
Los sistemas biomédicos (huella dactilar o reconocimiento de cara) todavía no lo veo como uso extendido, aunque Microsoft (por ejemplo) ya lo implanta en sus sistemas mas modernos.
Me da la impresión que este tema perdurarà en el tiempo hasta que la identificación sea por medidas/parametros biométricos que generen un código hash válido…
Porque, mientras tanto, el 90% de la población seguirá pensando que a él no le hackearán la cuenta, que con una contraseña «dificil» para todo es suficiente y que, además, no tienen la menor idea de que son los gestores de passwords (ni quieren saberlo).
¿Cuál es para vosotros el mejor gestor de contraseñas?
1Password
Gracias :-).
En este caso estoy totalmente de acuerdo con lo que dice Enrique, las personas no le dan la suficiente importancia a las contraseñas y sobre todo si eres directivo de una compañía ,tu obligación tiene que ser mantener todos los datos de tu empresa de forma segura para mantener la integridad de tu empresa de lo contrario el directivo de la empresa o compañía estaría cometiendo una negligencia clamorosa.
Sobre el tema de los ciberataques y hackers, lo he sufrido de primera mano, me quitaron la cuenta de instagram hace unos meses y no puedo recuperarla, no es algo grave pero me afecta personalmente, he de reconocer que mi contraseña era muy sencilla.SS