Blogcybersecuritypassword hackingpassword security

Por qué es necesario reiniciar la higiene de las contraseñas

En el mundo digital actual, la seguridad de las contraseñas es más importante que nunca. Si bien la biometría, las contraseñas de un solo uso (OTP) y otras formas emergentes de autenticación a menudo se promocionan como reemplazos de la contraseña tradicional, hoy en día, este concepto es más una exageración de marketing que cualquier otra cosa.

Pero el hecho de que las contraseñas no vayan a ninguna parte en el corto plazo no significa que las organizaciones no necesiten modernizar su enfoque de la higiene de contraseñas en este momento.

La crisis de las credenciales comprometidas

Como Microsoft el equipo de seguridad lo puso, “Todo lo que se necesita es una credencial comprometida … para causar una filtración de datos”. Junto con el problema desenfrenado de la reutilización de contraseñas, las contraseñas comprometidas pueden tener un impacto significativo y duradero en la seguridad empresarial.

De hecho, los investigadores de la Virginia Tech University encontraron que más del 70% de los usuarios emplearon una contraseña comprometida para otras cuentas hasta un año después de que se filtró inicialmente, y el 40% reutilizó las contraseñas que se filtraron hace más de tres años.

Si bien el desafío de las credenciales comprometidas no es exactamente nuevo para la mayoría de los líderes de TI, es posible que se sorprendan al saber que sus intentos de abordar el problema a menudo crean más vulnerabilidades de seguridad.

A continuación, se muestran algunos ejemplos de enfoques tradicionales que pueden debilitar la seguridad de las contraseñas:

  • Complejidad de la contraseña obligatoria
  • Restablecimiento periódico de la contraseña
  • Limitaciones en la longitud de la contraseña y el uso de caracteres
  • Requisitos de carácter especial

Un enfoque moderno para la seguridad de las contraseñas

Dadas las vulnerabilidades asociadas con estos enfoques heredados, el Instituto Nacional de Estándares y Tecnología (NIST) ha revisado sus recomendaciones para fomentar mejores prácticas de seguridad de contraseñas más modernas. En la raíz de las recomendaciones más recientes de NIST está el reconocimiento de que los factores humanos a menudo conducen a vulnerabilidades de seguridad cuando los usuarios se ven obligados a crear una contraseña que se alinea con requisitos de complejidad específicos o se les obliga a restablecerla periódicamente.

Por ejemplo, cuando se les pide que utilicen números y caracteres especiales, los usuarios pueden seleccionar algo básico como “P @ ssword1;” una credencial que es claramente común y fácilmente explotada por los piratas informáticos. Otro enfoque heredado que puede tener un efecto adverso en la seguridad son las políticas que prohíben el uso de espacios o varios caracteres especiales en las contraseñas. Después de todo, si desea que sus usuarios creen una contraseña única y segura que puedan recordar fácilmente, ¿por qué impondría limitaciones en torno a lo que podría ser?

Además, el NIST ahora recomienda no restablecer las contraseñas periódicamente y sugiere que las empresas solo requieran que se cambien las contraseñas si hay evidencia de compromiso.

El papel de las soluciones de detección de credenciales

Entonces, ¿cómo pueden las empresas monitorear las señales de compromiso? Adoptando otra recomendación del NIST; a saber, que las organizaciones filtran las contraseñas de las listas negras que contienen credenciales de uso común y comprometidas de forma continua.

Esto puede parecer bastante simple, pero es importante seleccionar la solución de detección de credenciales comprometida adecuada para el panorama de amenazas intensificado de hoy.

Sin sustituto de dinámico

Hay numerosas listas negras estáticas disponibles en línea y algunas empresas incluso seleccionan las suyas propias. Pero con múltiples violaciones de datos que ocurren en tiempo real, las credenciales recientemente comprometidas se publican continuamente en la Dark Web y están disponibles para que los piratas informáticos aprovechen sus ataques en curso. Las listas negras existentes o las que solo se actualizan periódicamente durante el año simplemente no son rival para este entorno de alto riesgo.

Enzoico solución dinámica compara las credenciales con una base de datos patentada que contiene miles de millones de contraseñas expuestas en violaciones de datos y encontradas en diccionarios de craqueo. Debido a que la base de datos se actualiza automáticamente varias veces al día, las empresas tienen la tranquilidad de saber que la seguridad de sus contraseñas está evolucionando para abordar la última inteligencia sobre violaciones sin necesidad de trabajo adicional desde una perspectiva de TI.

Examinar las credenciales tanto en su creación como monitorear continuamente su integridad a partir de entonces también es un componente importante de un enfoque moderno para la seguridad de las contraseñas. En caso de que una contraseña previamente segura se vea comprometida en el futuro, las organizaciones pueden automatizar la acción apropiada, por ejemplo, forzar un restablecimiento de contraseña en el próximo inicio de sesión o cerrar el acceso por completo hasta que TI investigue el problema.

El camino a seguir

Si bien las pautas del NIST a menudo informan las recomendaciones de mejores prácticas en la industria de la seguridad, en última instancia, depende de los líderes de seguridad determinar qué funciona mejor para sus necesidades únicas y adaptar sus estrategias en consecuencia.

Dependiendo de su industria, tamaño de la empresa y otros factores, quizás algunas de las recomendaciones no sean apropiadas para su negocio.

Pero con el aluvión diario de ataques cibernéticos que no muestran signos de disminuir y, con frecuencia, se vinculan a vulnerabilidades de contraseña, no es fácil imaginar una organización que no se beneficiaría de la capa de seguridad adicional que ofrece la verificación de credenciales.

Obtenga más información sobre la inteligencia dinámica de amenazas de contraseñas de Enzoic y cómo puede ayudarlo a reiniciar su enfoque de higiene de contraseñas aquí.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar