Por estrategiaynegocios.net
En estos días, una persona promedio tiene hasta 100 contraseñas para recordar, el número creció a un ritmo acelerado en los últimos años (aunque, de hecho, algunas personas usaron alrededor de 50 contraseñas).
De hecho, estudios han encontrado que las personas generalmente recuerdan hasta cinco contraseñas y toman atajos para crear contraseñas fáciles de adivinar y luego reciclarlas en varias cuentas en línea.
Por su parte, compañías tecnológicos como Microsoft y Google están alentando a todos a deshacerse de las contraseñas y dejar de usarlas por completo. Sin embargo, si una pequeña o mediana empresa aún no está lista para deshacerse de las contraseñas, ESET comparte una guía que puede ser de ayuda:
1. Dejar de imponer reglas innecesarias para crear contraseñas complejas: Las reglas para crear contraseñas que son extremadamente complejas (como exigir a los usuarios que incluyan caracteres en mayúsculas y minúsculas, al menos un número y un carácter especial) ya no son obligatorias. Las mismas no alientan a los usuarios a establecer contraseñas más seguras, sino que impulsan a actuar de manera predecible y generar contraseñas débiles y difíciles de recordar.
2. Cambiar a frases de contraseña: En lugar de contraseñas cortas pero difíciles, buscar frases de contraseña. Son más largas y más complejas, pero aun así son fáciles de recordar. Por ejemplo, puede ser una oración completa, salpicada de mayúsculas, caracteres especiales y emojis. Si bien no es súper compleja, las herramientas automatizadas tardarán años en descifrarla. Como mínimo deberían tener 12 caracteres y como máximo 64 caracteres después de combinar varios espacios.
3. Utilizar una variedad de caracteres: A la hora de establecer una contraseña los y las usuarias deben tener la libertad de elegir entre todos los caracteres, incluidos los emojis. También deberían tener la opción de usar espacios, que son una parte natural de las frases utilizadas como contraseña, una alternativa muy recomendada para evitar las contraseñas tradicionales. Una recomendación: implementar un generador de contraseñas.
4. Evitar la reutilización de contraseñas: Una filtración de las claves de acceso de una cuenta puede llevar fácilmente al compromiso de otras cuentas. Sin embargo, alrededor de la mitad de los encuestados en un estudio realizado por el Instituto Ponemon de 2019 admitió haber reutilizado un promedio de cinco contraseñas para acceder a sus cuentas comerciales y/o personales.
5. No utilizar fecha de expiración para contraseñas: El NIST recomienda no solicitar cambios regulares de contraseña a menos que haya evidencia de un compromiso. La razón es que las personas usuarias tienen una paciencia limitada para tener que pensar constantemente en nuevas contraseñas razonablemente seguras. Como resultado, solicitar cambios de contraseña de forma regular puede hacer más daño que bien.
6. Soporte para administradores de contraseñas y herramientas: Asegurarse de que la funcionalidad de “copiar y pegar”, el administrador de contraseñas del navegador y también los administradores de contraseñas externos estén al alcance para gestionar la molestia de crear y proteger las contraseñas de los usuarios. Los usuarios también deben optar por ver temporalmente la contraseña enmascarada completa o ver temporalmente el último carácter escrito de la contraseña. De acuerdo con las pautas de OWASP, la idea es mejorar la usabilidad de las credenciales, particularmente en torno al uso de contraseñas más largas, frases de contraseña y administradores de contraseñas.
7. Notificar a los usuarios los cambios de contraseñas: Cuando los usuarios cambian sus contraseñas, se les debe pedir que primero ingresen su contraseña anterior e, idealmente, habiliten la autenticación en dos pasos, también conocida como autenticación de dos factores o 2FA (por sus siglas en inglés). Una vez hecho esto, deberían recibir una notificación.
