Contraseñas y autenticación
Las contraseñas siguen siendo el medio más común de autenticación. Ante el aumento del número de bases de datos de contraseñas comprometidas, la Universidad Pontificia de Comillas ha adoptado nuevas recomendaciones sobre contraseñas. Establece las medidas mínimas que deben aplicarse a todas las cuentas de la Universidad.
Basada en la gestión de un secreto, la autenticación mediante un nombre de usuario y una contraseña es una forma sencilla y barata de controlar el acceso.
Sin embargo, este método de autenticación tiene un bajo nivel de seguridad.
En los últimos años, numerosos ataques informáticos han puesto en peligro bases de datos enteras de cuentas y contraseñas asociadas. Estas filtraciones de datos han aumentado, entre otras cosas, el conocimiento de los atacantes sobre las contraseñas. Los riesgos de comprometer las cuentas asociadas a este método de autenticación han aumentado considerablemente y requieren una especial vigilancia.
Los riesgos asociados a la gestión de contraseñas son múltiples y se basan en :
- La sencillez de la contraseña.
- Escuchando en la red para recoger las contraseñas transmitidas.
- El almacenamiento de contraseñas en texto claro.
- Las preguntas "secretas" para la renovación de la contraseña en caso de olvido.
En respuesta a estos riesgos, la Universidad ha puesto en marcha las siguientes medidas, al tiempo que regula el uso de la autenticación en nuestro dominio.
- Renovación de las contraseñas cada 3 meses
- Composición mínima de 12 caracteres
- Se requieren mayúsculas, minúsculas, números y caracteres especiales
- Cuenta bloqueada tras 5 intentos fallidos
No existe una definición universal de una buena contraseña, pero su complejidad y longitud reducen el riesgo de éxito de un ataque informático que consista en probar sucesivamente numerosas contraseñas (conocido como ataque de fuerza bruta). La longitud de la contraseña se considera suficiente para resistir ataques comunes a partir de 12 caracteres. Cuando el tamaño de la contraseña disminuye, hay que prever medidas compensatorias.
Contraseñas a evitar | Contraseñas seguras |
---|---|
|
|
No debe contener información personal ni estar en el diccionario.
Nuestras recomendaciones para sus contraseñas
- Utilice una contraseña diferente para cada servicio
Así, si se pierde o le roban una de sus contraseñas, sólo el servicio en cuestión será vulnerable. De lo contrario, todos los servicios para los que utilices la misma contraseña comprometida serían hackeables. - Utilice una contraseña suficientemente larga y compleja
Una técnica de ataque común, conocida como "fuerza bruta", consiste en probar todas las combinaciones posibles de caracteres hasta encontrar la contraseña correcta. Realizados por ordenadores, estos ataques pueden probar decenas de miles de combinaciones por segundo. - Utilice una contraseña que no pueda ser adivinada
Otra técnica de ataque utilizada por los hackers es intentar "adivinar" su contraseña. Por lo tanto, evite utilizar en sus contraseñas información personal que pueda ser fácil de encontrar (en las redes sociales, por ejemplo), como el nombre de su hijo, un cumpleaños o su grupo musical favorito.
Evita también las secuencias lógicas simples como 123456, azerty, abcdef... que forman parte de las listas de contraseñas más comunes y son las primeras combinaciones que los ciberdelincuentes intentarán para entrar en tus cuentas. - Utilice un gestor de contraseñas
Es humanamente imposible recordar las decenas de contraseñas largas y complejas que todo el mundo utiliza a diario. Pero no cometas el error de apuntarlas en una libreta que dejes cerca de tu equipo, ni de escribirlas en tu correo electrónico o en un archivo no protegido de tu ordenador, o en tu teléfono móvil al que podría acceder un ciberdelincuente. Aprende a utilizar un gestor de contraseñas seguro que lo haga por ti, para que sólo tengas que recordar la única contraseña que te permite el acceso, como KeePass o Bitwarden. - Cambie su contraseña a la menor sospecha
Tiene dudas sobre la seguridad de una de sus cuentas o se entera de que una organización o empresa con la que tiene una cuenta ha sido pirateada. No esperes a saber si es verdad o no. Cambie la contraseña inmediatamente antes de que caiga en manos equivocadas. - No facilite nunca sus contraseñas a un tercero
Tu contraseña debe ser secreta. Ninguna empresa u organización seria le pedirá nunca que le dé su contraseña por correo electrónico o por teléfono. Ni siquiera para el "mantenimiento" o la "resolución de problemas informáticos". Si le piden su contraseña, considere que es un intento de pirateo o estafa. - No utilice sus contraseñas en un ordenador publico
Los ordenadores de libre acceso que puede utilizar en hoteles, cibercafés y otros lugares públicos pueden ser manipulados y sus contraseñas pueden ser recuperadas por un delincuente. Si tiene que utilizar un ordenador compartido o que no es de su propiedad, utilice el modo de "navegación privada" del navegador, que evita dejar demasiados rastros en el ordenador, asegúrese de cerrar la sesión después de utilizarlo y no guarde nunca sus contraseñas en el navegador. Por último, en cuanto vuelvas a tener acceso a un ordenador de confianza, cambia cuanto antes todas las contraseñas que utilizabas en el ordenador compartido. - Activar la "doble autenticación "* cuando sea posible
Cada vez más servicios ofrecen esta opción para aumentar la seguridad de su acceso. Además del nombre de la cuenta y la contraseña, estos servicios le piden una confirmación, que puede recibir, por ejemplo, en forma de un código temporal recibido por SMS o correo electrónico, a través de una aplicación o clave específica que usted controla, o por reconocimiento biométrico. Así, con esta confirmación, sólo tú puedes autorizar a un nuevo dispositivo a conectarse a las cuentas protegidas.
* También llamada "autenticación fuerte", "autenticación multifactor", "2FA", "verificación en dos pasos", "validación en dos pasos", "autenticación de dos factores", "identificación de dos factores", "verificación en dos pasos"... - Cambie las contraseñas por defecto de los diferentes servicios a los que accede
Muchos servicios ofrecen contraseñas por defecto que no es necesario cambiar. Estas contraseñas por defecto suelen ser conocidas por los ciberdelincuentes. Por lo tanto, es importante sustituirlas lo antes posible por sus propias contraseñas que usted controla. - Elija una contraseña especialmente fuerte para su correo electrónico
Su dirección de correo electrónico suele estar asociada a muchas de sus cuentas en línea. Esto le permite recibir enlaces de restablecimiento de contraseña para sus otras cuentas. Un ciberdelincuente que consiguiera hackear su correo electrónico podría utilizar fácilmente la función "olvido de contraseña" de los distintos servicios a los que puede acceder, como su cuenta bancaria, para hacerse con el control de la misma.
Por lo tanto, su contraseña de correo electrónico es una de las más importantes que debe proteger.