¿Qué es una política de contraseñas y cómo crear una?
Publicado: 2023-01-26Las contraseñas comprometidas son una de las principales razones de las filtraciones de datos. De hecho, más del 80% de las infracciones relacionadas con la piratería son causadas por problemas relacionados con la contraseña. Una política de contraseñas seguras puede ayudar a garantizar que todos en su empresa usen contraseñas seguras.
Entonces, ¿qué es una política de contraseñas? ¿Cómo se puede crear una política de contraseñas estándar? ¿Y cuáles son las mejores prácticas de la política de contraseñas? Averigüémoslo a continuación.
¿Qué es una política de contraseñas?
Una política de contraseñas es un conjunto de pautas para que todos en una empresa creen una contraseña segura y la usen correctamente para mejorar la seguridad informática y la seguridad en línea.
Una política de contraseñas estándar incluye lo que los usuarios deben tener en cuenta y lo que deben evitar al crear, cambiar, almacenar o compartir contraseñas.
Por ejemplo, su política de contraseñas puede dictar que los usuarios deben crear contraseñas más largas, incluida una determinada cantidad de caracteres especiales.
Dependiendo de las necesidades de su organización, puede hacer que su política de contraseñas sea de carácter consultivo u obligatorio.
¿Por qué son importantes las políticas de contraseñas?
Una política de contraseñas puede ayudarlo a hacer cumplir la práctica de usar contraseñas seguras y únicas en su empresa para mejorar la seguridad de las contraseñas.
Estas son las razones clave por las que implementar una política de seguridad de contraseña sólida es fundamental para su empresa:
- La reutilización de contraseñas es un error de seguridad. Una política de contraseñas puede descartar rápidamente la práctica de reutilización de contraseñas
- Una política de contraseña segura con una cláusula de autenticación multifactor lo ayuda a minimizar varios riesgos de seguridad en gran medida
- Todos en su empresa comenzarán a crear contraseñas complejas y almacenarlas de forma segura. Como resultado, sus contraseñas estarán a salvo de ataques de fuerza bruta y otros ataques relacionados con contraseñas.
- Una política de contraseñas sólida indica a sus clientes y proveedores que está tomando medidas estrictas para proteger las contraseñas. Esto puede ayudar a generar confianza con ellos.
Por último, pero no menos importante, una política de contraseñas cultiva una cultura de seguridad cibernética que es de suma importancia en el mundo actual, ya que las pequeñas empresas se están convirtiendo cada vez más en el objetivo de varios tipos de ataques de seguridad cibernética.
Cómo crear una política de contraseñas estándar
El siguiente es un proceso paso a paso para crear una política de contraseña segura:
1. Establecer requisitos de complejidad de contraseña
Los administradores de sistemas o los departamentos de TI deben establecer pautas de complejidad de contraseñas para garantizar la creación de contraseñas seguras.
Estos son los requisitos de contraseña esenciales que debe incluir en su política de contraseñas para ayudar a los usuarios a evitar la creación de contraseñas débiles:
- Las contraseñas deben tener al menos diez caracteres (mientras más largas, mejor)
- Los usuarios deben incluir letras mayúsculas, minúsculas y caracteres especiales en las contraseñas
- Incluir palabras mal escritas es una buena táctica para crear contraseñas complejas
Los ataques de fuerza bruta y los ataques de diccionario pueden descifrar contraseñas simples. Por lo tanto, su política de contraseñas debe tener requisitos de complejidad para alentar a los usuarios a crear contraseñas a prueba de piratas informáticos.
2. Crear una lista de denegación de contraseñas
Además de tener lo que los usuarios deben hacer, su política de contraseñas también debe indicar cosas que los usuarios deben evitar al crear contraseñas.
Una lista de contraseñas denegadas puede incluir lo siguiente:
- Información relacionada con la persona, como nombre, fecha de nacimiento, lugar de nacimiento, cargo, etc.
- Números de teléfono, números de casa o número de calle
- Nombre del cónyuge, hijos o seres queridos
- Reutilizar la misma contraseña en varias cuentas
Como regla general, la lista de denegación de su política de contraseñas debe incluir cualquier tipo de información personal o un patrón simple (como QWERTY a 123456).
3. Establecer un período de caducidad de la contraseña
La idea principal detrás de establecer un período de caducidad de la contraseña es que los piratas informáticos no sabrán si las contraseñas que encontraron en una violación de datos anterior funcionarán.
Por ejemplo, su contraseña se divulga en un incidente de violación de datos de dos meses de antigüedad. Y cambias tu contraseña cada mes. Los piratas informáticos no podrán acceder a su cuenta utilizando esa contraseña filtrada.
Idealmente, el período de caducidad de la contraseña debe establecerse en tres meses. Pero puede ajustar este período, dependiendo de la necesidad de su negocio. Además, debe asegurarse de que sus empleados no reutilicen las mismas contraseñas para otras cuentas.
4. Hacer cumplir la autenticación de múltiples factores
La autenticación multifactor (MFA) puede aumentar la seguridad de las cuentas en su empresa. Esto se debe a que los piratas informáticos no podrán obtener acceso a las cuentas incluso si obtienen los nombres de usuario y las contraseñas de esas cuentas.
Por lo tanto, su política de contraseñas debe obligar a los usuarios a implementar MFA para todas las cuentas que permitan esta función.
5. Incluir umbral de bloqueo de cuenta
El umbral de bloqueo de cuenta permite que las cuentas de usuario se bloqueen después de una cierta cantidad de intentos fallidos de inicio de sesión. Esta característica protege sus cuentas de ataques de fuerza bruta y ataques de diccionario.
Idealmente, puede establecer el umbral de bloqueo de la cuenta en cinco intentos fallidos de inicio de sesión. Esto incluye implementar un período de bloqueo de cuenta de 15 minutos.
6. Tenga pautas sobre cómo almacenar contraseñas
¿Sabes que el 55 por ciento de los empleados guardan las contraseñas en notas adhesivas? La forma en que sus empleados almacenan contraseñas afecta la seguridad de las contraseñas.
Almacenar contraseñas en correos electrónicos, aplicaciones de notas en un teléfono, notas en papel y documentos en una computadora es una mala práctica. Y hacerlo debilita la seguridad de las contraseñas, incluso si las contraseñas son largas y complejas.
Por lo tanto, su política de seguridad de contraseñas debe incluir pautas claras para almacenar contraseñas de forma segura. Y una forma de hacerlo es usar un administrador de contraseñas, que mantiene su contraseña encriptada y almacenada de forma segura detrás de la contraseña maestra.
Aunque la mayoría de los navegadores en estos días tienen una función para almacenar contraseñas, usar un administrador de contraseñas para almacenar contraseñas es una opción más segura. Un administrador de contraseñas también ofrece formas seguras de compartir contraseñas entre diferentes usuarios.
7. Establecer consecuencias para los infractores de la política
Ha creado una política de seguridad de contraseñas para proteger las computadoras y las cuentas en línea. Así que todos deberían seguirlo religiosamente. Establecer algunas consecuencias para aquellos que violan la política con frecuencia puede ser una buena idea para alentar a todos los usuarios a cumplir con la política de contraseñas.
Sin embargo, debe idear formas creativas de hacer que los infractores de la política de contraseñas sientan que han cometido errores. Cualquier castigo severo puede convertirlos en una amenaza interna.
Proporcione a los infractores de la política más sesiones de capacitación de concientización y anímelos a seguir la política de contraseñas. Pero si alguien comete errores repetidamente a pesar de muchas advertencias, dejarlo ir puede ser la mejor opción, ya que está arriesgando su negocio.
8. Actualice su política de contraseñas regularmente
Su política de contraseñas no debe ser algo grabado en piedra. En su lugar, debe revisar su política de contraseñas de vez en cuando y verificar si tiene éxito:
- Garantizar que los usuarios creen contraseñas largas y complejas
- Evitar que los usuarios creen nuevas contraseñas que sean fáciles de piratear
- Animar a los usuarios a cambiar las contraseñas con frecuencia, como se recomienda en la política
- Evitar que los usuarios utilicen la misma contraseña para varias cuentas
Ajustar su política de contraseñas de acuerdo con las observaciones realizadas en las auditorías regulares de contraseñas lo ayuda a crear una política de contraseñas sólida para mejorar la seguridad de las contraseñas en su empresa.
Prácticas recomendadas de la política de contraseñas
Las siguientes son las mejores prácticas para maximizar el éxito de su política de contraseñas:
1. Tenga una política de contraseñas de fácil acceso
La guía de políticas debe organizarse para que los usuarios puedan navegar fácilmente a través de diferentes secciones, como la creación de contraseñas y el almacenamiento de contraseñas.
Prepare una copia impresa y una copia digital de su política de contraseñas para asegurarse de que los usuarios puedan acceder a ella de la forma que deseen.
2. Adopte un sistema de gestión de contraseñas
Incluir el uso obligatorio de un administrador de contraseñas en su política puede fortalecer la seguridad de las contraseñas en gran medida. ¿Cómo?
Los empleados necesitan crear múltiples contraseñas en estos días. Y crear una contraseña única para cada cuenta puede ser un problema para muchos usuarios. Un administrador de contraseñas puede crear una contraseña difícil de descifrar al instante y guardar varias contraseñas de forma segura.
3. Prohibir el uso compartido inseguro de contraseñas
Compartir contraseñas entre usuarios es una práctica común en el entorno empresarial actual cuando varios empleados trabajan en un solo proyecto.
Para mejorar la seguridad de las contraseñas, debe asegurarse de que nadie las comparta a través de mensajes de texto, correos electrónicos o mensajes instantáneos. El uso compartido seguro de contraseñas es imprescindible para mejorar la seguridad de las contraseñas. Todos los administradores de contraseñas de renombre permiten a los usuarios compartir contraseñas de forma segura.
4. Implementar el tiempo de inicio de sesión
Los empleados solo deben iniciar sesión en cuentas y sistemas cuando los utilicen. Mantener las cuentas y los sistemas conectados cuando ninguno los está usando es una pésima práctica de ciberseguridad. Y la política de contraseñas debería prohibir estrictamente esta práctica.
5. Realice auditorías periódicas de contraseñas
Establezca auditorías de contraseñas como una práctica regular para verificar la efectividad de su política de contraseñas. Esto lo ayudará a descubrir áreas de mejora en su política de contraseñas para maximizar su éxito.
¿Cuáles son las pautas de contraseña del NIST?
Las pautas esenciales del NIST para las contraseñas incluyen, entre otras, crear contraseñas de al menos ocho caracteres, enfatizar la longitud más que la complejidad, activar la configuración de 'mostrar contraseña', implementar autenticación de dos o múltiples factores y evitar cambios frecuentes de contraseña.
¿Son las contraseñas complejas tan importantes como la longitud mínima de la contraseña?
La complejidad y la longitud de la contraseña son necesarias para crear contraseñas difíciles de piratear. Pero elegir contraseñas más complejas en lugar de contraseñas más largas dificulta que los usuarios las recuerden. Se recomienda maximizar la longitud y la complejidad si una empresa emplea una aplicación de administración de contraseñas.
¿Con qué frecuencia se deben cambiar las contraseñas?
La mayoría de los expertos en ciberseguridad recomiendan que las contraseñas se cambien cada tres meses. Todos los buenos administradores de contraseñas a menudo tienen una función que indica si las contraseñas guardadas se encuentran en algún incidente de violación de datos. Debe cambiar inmediatamente una contraseña si está expuesta a una violación de datos.
¿Deberían las pequeñas empresas usar un administrador de contraseñas?
Sí, las pequeñas empresas deberían usar un administrador de contraseñas. Una aplicación de administrador de contraseñas puede ayudar a sus empleados a crear contraseñas complejas, almacenar contraseñas de forma segura y compartir contraseñas de forma segura. El uso de un administrador de contraseñas ofrece una protección de contraseña confiable.
¿Cuál es la política de contraseñas ideal?
La política de contraseñas ideal hace hincapié en la creación de contraseñas difíciles de descifrar, el almacenamiento seguro de contraseñas y el uso de diferentes contraseñas para diferentes cuentas. También hace hincapié en cambiar las contraseñas antiguas con frecuencia.
TAMBIÉN PODRÍA GUSTARTE:
- Compartir contraseñas WiFi comerciales no tiene por qué ser difícil, use códigos QR como este
Imagen: Elementos Envato