La plataforma global e independiente para la comunidad SAP.

Seguridad de contraseñas - ¿Una causa perdida?

Casi ninguna tecnología de seguridad nos ha acompañado tanto tiempo como la contraseña. A lo largo de las décadas, siempre ha habido optimizaciones, pero el principio básico ha seguido siendo el mismo.
Raimund Genes, Trend Micro
1. octubre 2016
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Común a todas las optimizaciones es el deseo de más seguridad.

A más tardar con la llegada de los modernos descifradores de contraseñas, es posible estimar con mucha precisión cuánto tiempo se tardará en descifrar una contraseña utilizando la fuerza bruta para una longitud de contraseña dada y un conjunto de caracteres fijo.

La idea es sencilla: cuanto más compleja y larga sea la contraseña, más tiempo se tarda - y más segura es la contraseña. Esta es la opinión común...

Por desgracia, el problema no es tan unidimensional. Mientras tanto, varios factores desempeñan un papel muy importante en la seguridad de las contraseñas.

¿Es bueno?

Mientras tanto, se observa una tendencia hacia unas directrices más laxas en materia de contraseñas. Menos en cuanto a la longitud de la contraseña, más en cuanto al conjunto de caracteres exigidos.

Mientras que algunos lo tachan de "poco seguro", yo veo algo diferente: al fin y al cabo, introducir contraseñas con caracteres especiales en un dispositivo móvil lleva mucho tiempo. Así que solo se piden caracteres que sean fáciles de alcanzar en el teclado estándar de los smartphones.

Esta decisión tiene más sentido si se tiene en cuenta la situación de los servicios de asistencia.

Las contraseñas difíciles de introducir en un dispositivo móvil suponen un esfuerzo mucho mayor para la asistencia al usuario. Para contrarrestarlo, a veces se relajan las directrices...

¿Demasiado bienintencionado?

La investigación sobre el descifrado eficaz de contraseñas está muy avanzada.

La investigación sobre el paso anterior -la cuestión de cómo "ideamos" las contraseñas los seres humanos- no ha hecho más que empezar.

Un estudio reciente de la Universidad de Carolina del Norte concluye que cambiar las contraseñas con demasiada frecuencia y establecer requisitos demasiado estrictos tiene más probabilidades de perjudicar la seguridad que de ayudarla.

Entonces, los usuarios tienden a seguir utilizando la contraseña "antigua" con modificaciones sencillas - y, por ejemplo, sólo cambian las mayúsculas/minúsculas o añaden más caracteres.

En este contexto, los investigadores han desarrollado procedimientos que permiten probar numerosas modificaciones frecuentes de una contraseña básica existente y alcanzar así el objetivo mucho más rápidamente.

¿Suficiente?

En muchos cursos de formación sobre seguridad, se inculca a los usuarios que utilicen contraseñas diferentes para los distintos accesos y que separen los asuntos privados de los profesionales.

Pero el hombre es un animal de costumbres, la realidad se ve de otra manera.

Hay que suponer que muchos también utilizan contraseñas iguales o similares para sus cuentas privadas. Esto hace que, de repente, el pirateo de un proveedor externo sea relevante, especialmente si las contraseñas se roban en texto plano.

Esto se debe a que los atacantes disponen de una gran base de contraseñas básicas de un plumazo, que pueden probar simplemente con modificaciones contra el acceso de la empresa.

Bien está lo que bien acaba...

El ejemplo de las contraseñas demuestra que la seguridad no es un proceso técnico unidimensional. Las decisiones técnicas influyen directamente en otras dimensiones, en las personas y en los procesos.

Una decisión que hace que el sistema sea más seguro desde un punto de vista técnico puede tener un impacto masivo en otras dimensiones, de modo que la seguridad del sistema global puede resentirse.

¿Realmente es necesaria la contraseña de máxima seguridad con caracteres especiales para todos los servicios, o la autenticación no es también adecuada al nivel de confidencialidad?suficientemente bueno"?

O, por otro lado, ¿el hecho de modificar la contraseña no soluciona simplemente el síntoma? En algunos casos, la autenticación mediante dos factores o biométrica puede tener sentido.

La decisión sobre cómo proteger qué accesos depende del personal, los servicios, los procesos y las posibilidades técnicas.

Y esta decisión debe tomarse en última instancia tras una evaluación de riesgos que tenga en cuenta algo más que la dimensión técnica.

Aquí no hay un acierto o un error general: las decisiones siempre tienen que verse en el contexto de la finalidad del uso y la voluntad de asumir riesgos. Y esto se aplica tanto a las contraseñas como a otras técnicas y procesos de seguridad informática.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.