Hoy, 5 de mayo, es el Día Mundial de la Contraseña. Han pasado casi 20 años desde que Intel lanzó por primera vez la iniciativa en 2013, pero aún así, la mayoría de las personas usan y reutilizan contraseñas fáciles de descifrar, no las protegen e incluso las comparten. Además, la mayoría de nosotros ni siquiera nos damos cuenta de cuántas contraseñas tenemos.

La enseñanza de la seguridad de las contraseñas a principios de la década de 2000 generalmente comenzaba con una pregunta a la audiencia: ¿cuántos de ustedes tienen hasta 10 contraseñas para recordar? ¿Qué tal 25? ¿Alguien con más de 50? Hoy suelo empezar con “¿cuántas credenciales crees que todavía tienes activas? ¿Menos de cien?”

Es interesante cómo se acumula. Muchas personas no sabrán cuántas credenciales decidieron almacenar en su navegador. Podría ser una credencial utilizada muchas veces al mes, o tal vez esa que tuviste que crear en esa tienda en línea que compraste solo una vez pero necesitabas rastrear tu pedido. El hecho es que es casi imposible saberlo. Si suele guardar sus credenciales en el navegador, es posible que se entere cuando se infecte con malware que robe las credenciales de su navegador, como el reciente BlackGuard. O cuando alguien accede a su correo electrónico, el método más utilizado para restablecer contraseñas. En este punto, ¡su vida digital ha terminado!

Sin embargo, no tiene por qué ser así. Los administradores de contraseñas pueden ayudarlo a controlar mejor sus credenciales, especialmente si piensa en términos de uso corporativo. Veamos algunas áreas en las que puede ayudar a mitigar los problemas relacionados con las contraseñas:

  • Uso compartido de contraseñas: puede compartir fácilmente por teléfono una contraseña como “fútbol 123”. Ahora intente compartir “tNNi^M$E*@Ep7LD&”. No es tan fácil. Esto podría ayudar a evitar el intercambio intencional o a través de la ingeniería social.

 

  • Reutilización de contraseñas corporativas para aplicaciones personales: La empresa me hizo crear una nueva contraseña con mayúsculas, letras, números y caracteres especiales. Uso mi creatividad y uso “Fútbol @ 123”. Sin embargo, ya que tengo esta bonita y segura contraseña, ¿por qué no usarla en otros lugares? Tal vez mi servicio de transmisión de TV, que comparto con mi hija, que comparte con su novio. Recuerde, usted no tiene control sobre las contraseñas fuera de la empresa. En este ejemplo, el novio de su hija tiene las credenciales de su empresa. Una contraseña compleja está bien, pero intente ingresar “tNNi^M$E*@Ep7LD&” en su televisor inteligente.

 

  • Misma contraseña para todo: los usuarios pueden memorizar algunas contraseñas, tal vez tres o cuatro. El resto son solo variaciones. Los usuarios intentarán usar la misma contraseña en todas partes, quizás con algunas ligeras variaciones. Una contraseña corporativa podría estar flotando en docenas de cuentas no controladas. Los administradores de contraseñas entrenarán al usuario para crear una contraseña diferente en todas partes. Después de todo, lo creará por usted y lo completará durante la autenticación.

 

  • Fuga de credenciales en la web oscura: he sido usuario de LinkedIn durante bastante tiempo y tuvieron filtraciones al menos un par de veces, por lo que mis credenciales terminaron en la web oscura. No hay nada que puedas hacer al respecto excepto restablecer tu contraseña. El problema es que puede tomar tiempo para que te des cuenta de que ha sucedido. No es tu culpa, pero lamentablemente la compañía en la que tienes una cuenta fue atacada y tu contraseña, que probablemente usas para docenas de otras cuentas, ahora está expuesta. Sin embargo, la mayoría de los sitios web no almacenarán su contraseña completamente abierta; usarán un hash de su contraseña. Por lo tanto, los atacantes aún necesitan descifrar las contraseñas. Si tiene uno fácil, incluso una combinación de palabras, hay muchas posibilidades de que se descifre. Una contraseña larga y compleja no se puede piratear con la potencia informática actual. Entonces, incluso si ocurre una fuga, lo más probable es que una contraseña generada por un administrador de contraseñas esté protegida.

 

  • Contraseñas fáciles de descifrar: Hay ataques como el rociado de contraseñas que usarán contraseñas simples. Otros ataques, que usan diccionarios para contraseñas más largas, pueden ser bastante efectivos para descifrar contraseñas fáciles. Las contraseñas codificadas, incluida la sal, una variable adicional, se pueden descifrar con múltiples letras/números de combinaciones de hasta 8 caracteres solamente. Las contraseñas con hasta 12 caracteres y un hash regular generalmente se pueden descifrar sin problemas. Las contraseñas con 16 caracteres, como las generadas por el administrador de contraseñas, no se pueden descifrar con múltiples combinaciones.

 

  • Contraseñas de administrador compartidas: las empresas a veces tienen credenciales compartidas y una contraseña de administrador que se comparte entre todo el personal de administración de TI. Incluso cuando se utilizan contraseñas complejas, ¿cómo se asegura de que no queden expuestas? En un ataque reciente, los piratas informáticos encontraron una hoja de cálculo que contenía varias credenciales de administrador en una empresa. ¡Bote! Lo más probable es que los administradores de contraseñas corporativas aseguren las contraseñas compartidas entre individuos, donde siempre se almacenan en una bóveda.

 

  • Exposición de contraseñas para cuentas administradas de MSP: los MSP siempre tendrán credenciales de administrador para acceder a sus cuentas administradas, una o más por cuenta, compartidas entre grupos de técnicos de MSP. La filtración de esas credenciales podría ser un desastre para un MSP, exponiendo sus cuentas administradas al riesgo de conexiones remotas y propagando ransomware. Las bóvedas de contraseñas pueden ser muy efectivas en esas situaciones.

 

  • Aplicaciones corporativas sin compatibilidad con MFA: la mayoría de las aplicaciones comerciales serias admitirán la autenticación multifactor (MFA), generalmente a través del protocolo SAML, que crea una relación de confianza con un proveedor de identidad. Algunos pueden tener su propia solución MFA. Sin embargo, todavía hay muchas aplicaciones que no entienden mucho sobre la necesidad de MFA. Empresas como Salesforce no solo las admiten, sino que las han aplicado desde febrero de 2022. Sin embargo, para las aplicaciones que no admiten MFA, lo mínimo que debe hacer es asegurarse de que las credenciales sean únicas y no se reutilicen. Los administradores de contraseñas no ayudarán en todas las situaciones, como en los sitios web de phishing. Sin embargo, puede reducir drásticamente la exposición.

 

  • Descuido de la contraseña por parte de los usuarios: la capacitación del usuario siempre es importante para protegerse contra los ataques de phishing, o incluso decir una contraseña por teléfono, porque la persona al otro lado de la línea dijo que es de su banco y necesita desbloquear su tarjeta de crédito. Los administradores de contraseñas pueden ser efectivos para ayudar a capacitar a los usuarios, haciéndoles comprender la importancia de mantener una contraseña segura y reducir la posibilidad de usarla en situaciones peligrosas.

Podría preguntarse, ¿qué pasa con la autenticación sin contraseña? Esta es una tendencia creciente, pero hay muy pocas situaciones en las que puede usarla. Lo más probable es que iniciar sesión en su computadora con su rostro no lo ayude a iniciar sesión en otros sitios web. Cambiar el inicio de sesión de la aplicación de su teléfono móvil a su huella digital crea una excelente experiencia de usuario, pero no se puede usar si necesita iniciar sesión a través de su computadora.

El hecho es que las contraseñas no van a desaparecer y, hasta que haya una solución que cubra todos los casos de la empresa, los administradores de contraseñas pueden ser efectivos para mitigar esos riesgos. Piensa seriamente en este uso.

Open chat
WhatsApp
Hola 👋
¿En qué podemos ayudarte?