En nuestra cotidianidad utilizamos una gestión de contraseñas básica para muchas cosas: acceso al correo electrónico, a una aplicación o a un sitio web específico. ¿Cómo se debe hacer? ¿Cuáles son las mejores prácticas? Aquí encontrarás las respuestas, pero debemos empezar por hablar de la identidad.
¿Qué es una identidad? En tecnología podemos decir que identidad es aquello que se refiere a una persona u objeto dentro de un ambiente determinado, por ejemplo, un directorio activo. Podemos hablar entonces de identidad de usuario en donde podemos decir que dicha identidad representa a una persona real que labora dentro de una compañía y a la cual se le deben brindar acceso al entorno tecnológico de la compañía y a la información necesaria para desempeñar su cargo.
Imagen de: Identity Governance
¿Qué es una contraseña? Si observamos bien los usuarios no son los únicos que existen dentro de un ambiente laboral, también podemos encontrar allí servidores, computadores, impresoras, almacenamiento, aplicaciones, etc y para acceder a cada uno de estos recursos se necesita una identidad de usuario y su contraseña correspondiente. Una contraseña en términos sencillos es una secuencia de caracteres que una identidad debe ingresar para obtener acceso a un equipo, aplicación o similar.
¿Cómo funciona mi contraseña?
Al momento de asignar o ingresar una contraseña se realizan procesos de seguridad para evitar que dicha contraseña caiga en manos de personas que no deben tenerla. Para esto se usa un proceso llamado “hashing” que en palabras sencillas, se encarga de convertir esa contraseña asignada o digitada en una cadena de caracteres (letras y números) usando algoritmos de encriptación.
Lo que ocurre cuando creamos o usamos una contraseña es básicamente un proceso como el siguiente:
∙ Crear una contraseña
∙ La contraseña creada se convierte a una cadena de caracteres (letras y números) y se almacena en una base de datos
∙ Cuando el usuario o identidad ingresa nuevamente el password para autenticarse en un equipo o sitio, se genera nuevamente la cadena de caracteres usando el algoritmo de encriptación.
∙ El servidor se encarga de verificar que la nueva cadena de caracteres generados sea exactamente la misma cadena que se encuentra almacenada en la base de datos.
∙ Si las cadenas coinciden, se permite el acceso al equipo o aplicación.
Fuente: How Do Passwords Work?
Imagen tomada de: Password Hashing
Ahora, las contraseñas son el primer paso para asegurar el acceso no autorizado a un sistema, pero de igual manera se debe tener una buena práctica para asegurar que las contraseñas sean complejas a fin de evitar el uso de estas por los hackers para intentar ataques de fuerza bruta, por ejemplo. A continuación brindaremos algunas recomendaciones para tener una buena práctica a la hora crearpolíticas de contraseña para los usuario finales.
Usaremos las recomendaciones del NIST 800-63b para este caso:
∙ Longitud máxima de contraseña de 64 caracteres.
∙ Omitir las reglas de composición de contraseña (Comenzar con mayúscula, luego un número, luego minúsculas, etc…).
∙ Permitir el uso de copiar y pegar en los campos de contraseña, con el fin de facilitar el uso de password managers.
∙ Permitir el uso de todos los caracteres de ASCII al igual que caracteres UNICODE.
∙ Habilitar la opción “mostrar contraseña”, al ingresar errores en la contraseña el usuario puede llegar a buscar la manera de resetear la contraseña por una más sencilla de digitar.
∙ Habilitar métodos de doble factor de autenticación (MFA).
∙ Evitar el cambio frecuente de contraseña a menos que se compruebe un compromiso de la misma.
∙ Limitar la cantidad de intentos fallidos.
∙ No permitir el uso de palabras de contexto como contraseñas (nombre de usuario, nombre de un servicio, etc).
∙ No permitir el uso de secuencias o repeticiones (eeeeeee, 98765qwer)
∙ Contraseña de 8 caracteres mínimo.
∙ Tener una lista negra de contraseñas no utilizables por los usuarios.
∙ “Salting”: Esta técnica adiciona una cadena de caracteres aleatoria al final de la contraseña antes de que se pase al proceso de hashing. En este caso 2 usuarios podrían tenerla misma contraseña pero el hash de cada una será totalmente diferente.
Imagen tomada de: Adding Salt to Hashing
Desde el segmento de IAM de ManageEngine podemos ayudar a los administradores a aplicar las recomendaciones brindadas con la ayuda de nuestra herramienta ADSeflService Plus. Mientras la herramienta brinda la posibilidad de autogestión al usuario cuando se presentan olvidos de contraseña o bloqueos de cuenta, también extiende su funcionalidad al reforzamiento de contraseñas de una manera sencilla y rápida.
Podemos brindar a los administradores la opción de bloquear el uso de X cantidad de caracteres consecutivos.
El bloqueo de contraseñas conocidas o simples de adivinar es también posible desde la herramienta, únicamente cargando un archivo .CSV con la información respectiva mientras que también se pude bloquear el uso de patrones, como recomiendan las mejores prácticas del NIST.
Una de las características más destacables es que estas opciones se pueden definir para todo un dominio completo o para cierto grupo de usuarios. Por ejemplo, podemos tener una política más restrictiva para usuarios privilegiados y una menos restrictiva para usuarios generales de la compañía.
Pero como se indica en las mejores prácticas, la sola contraseña no es suficiente. Con ADSelfService Plus podemos habilitar opciones de múltiple factor de autenticación (MFA) (15+) para todos los usuarios del dominio o como lo indicamos anteriormente, definir distintos tipo de MFA de acuerdo a la criticidad del usuario.
Incluso podemos llegar a extender ese MFA para los endpoints, solicitando doble factor de autenticación cuando el usuario desea ingresar a un equipo de la compañía.
¿Por qué es importante la gestión de contraseñas? La contraseña es ese primer punto de seguridad y control que se tiene para el ingreso al entorno corporativo, a la información, a todos esos recursos que se ponen a disposición del usuario para desempeñar la labor del día a día.
Perder esa contraseña significa que personas desconocidas podrían tener acceso a toda la información del usuario y de la compañía con fines indeterminados.
¿Qué podemos hacer como administradores? Intentar implementar algunas o todas las recomendaciones de las mejores prácticas para proteger la contraseña de los usuarios sin complicar el desempeño de sus labores.
Apoyarse en las herramientas que brinda el mercado para hacer más sencilla la administración y protección de las contraseñas evitando el uso de tiempo en tareas repetitivas, es una gran manera de apoyar a toda la fuerza laboral y salvaguardar toda la información empresarial.
