|
Las contraseñas débiles tienen las siguientes características. Se pueden encontrar en un diccionario. Son de uso común como: nombres de familiares, mascotas, amigos, personajes fantásticos, términos de ordenador, comandos, ciudades, compañías, hardware, software, fechas de cumpleaños y otra información personal como direcciones o números de teléfono. O patrones como aaabbb, qwerty o palabras seguidas o precedidas de dígitos.
Las contraseñas fuertes tienen las siguientes características: contienen caracteres minúsculas y mayúsculas, dígitos y caracteres especiales. 0-9, !@#$%^&*()_+|-=\`{}[]:";'<>?,./ Tienen al menos 8 caracteres de longitud. No están en ningún diccionario. No están basados en información personal. Se debe intentar crear una contraseña fácil de recordar. Una forma de hacerlo es crear una contraseña basada en una canción, afirmación o frase. Por ejemplo "Stairway To Heaven" podría quedar St41rW4y2H34v3n@!.
Además contamos con herramientas para la generación de contraseñas automáticas, como por ejemplo nuestro bot que dispone de un servicio para ello.
Estándar de protección de contraseñas
- Cambiar las contraseñas cada 30 días.
- No escribir las contraseñas y dejarlas al alcance de los demás.
- No guardar las contraseñas sin cifrarlas.
- No usar la misma contraseña para las cuentas de la organización que para las cuentas personales (email, banco...).
- No compartir las contraseñas en la empresa con nadie, incluidos el personal administrativo, secretarias.
- Todas las contraseñas deben ser tratadas como información sensible, confidencial.
- No dar la contraseña por teléfono a nadie.
- No dar la contraseña por email.
- No darle la contraseña al jefe.
- No decir la contraseña delante de personas.
- No revelar la contraseña en cuestionarios.
- No compartir la contraseña con familiares o compañeros de trabajo durante las vacaciones.
- No usar la opción "remember password" en las aplicaciones (IE, MSN, Mozilla,...)
- Si sospechamos que una clave ha podido ser usurpada, reportar el incidente al personal de seguridad de TI y cambiar todas las contraseñas.
- Se deberán hacer auditorias de crackeo de contraseña por el personal de seguridad. Si alguna contraseña se obtiene durante estos escaneos deberá ser documentado al usuario para que proceda a cambiarla.
- Además habría que ver qué usuarios existentes en los sistemas no necesitan contraseña ni shell, de manera que no haya forma de que entren en los sistemas.
La robustez de las contraseñas es un punto fundamental que está en primera línea para la protección de las cuentas de usuario. Elegir una contraseña débil comprometerá de forma crítica los recursos.
Fuente: http://www.securitybydefault.com/2009/09/se-preocupa-google-twitter-facebook-y.html -Por Laura García |
