La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 16-10

Seguridad de contraseñas - ¿Una causa perdida?

Casi ninguna tecnología de seguridad nos ha acompañado tanto tiempo como la contraseña. A lo largo de las décadas, siempre ha habido optimizaciones, pero el principio básico ha seguido siendo el mismo.
Raimund Genes, Trend Micro
1. octubre 2016
Contenido:
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Común a todas las optimizaciones es el deseo de más seguridad.

A más tardar con la llegada de los modernos descifradores de contraseñas, es posible estimar con mucha precisión cuánto tiempo se tardará en descifrar una contraseña utilizando la fuerza bruta para una longitud de contraseña dada y un conjunto de caracteres fijo.

La idea es sencilla: cuanto más compleja y larga sea la contraseña, más tiempo se tarda - y más segura es la contraseña. Esta es la opinión común...

Por desgracia, el problema no es tan unidimensional. Mientras tanto, varios factores desempeñan un papel muy importante en la seguridad de las contraseñas.

¿Es bueno?

Mientras tanto, se observa una tendencia hacia unas directrices más laxas en materia de contraseñas. Menos en cuanto a la longitud de la contraseña, más en cuanto al conjunto de caracteres exigidos.

Mientras que algunos lo tachan de "poco seguro", yo veo algo diferente: al fin y al cabo, introducir contraseñas con caracteres especiales en un dispositivo móvil lleva mucho tiempo. Así que solo se piden caracteres que sean fáciles de alcanzar en el teclado estándar de los smartphones.

Esta decisión tiene más sentido si se tiene en cuenta la situación de los servicios de asistencia.

Las contraseñas difíciles de introducir en un dispositivo móvil suponen un esfuerzo mucho mayor para la asistencia al usuario. Para contrarrestarlo, a veces se relajan las directrices...

¿Demasiado bienintencionado?

La investigación sobre el descifrado eficaz de contraseñas está muy avanzada.

La investigación sobre el paso anterior -la cuestión de cómo "ideamos" las contraseñas los seres humanos- no ha hecho más que empezar.

Un estudio reciente de la Universidad de Carolina del Norte concluye que cambiar las contraseñas con demasiada frecuencia y establecer requisitos demasiado estrictos tiene más probabilidades de perjudicar la seguridad que de ayudarla.

Entonces, los usuarios tienden a seguir utilizando la contraseña "antigua" con modificaciones sencillas - y, por ejemplo, sólo cambian las mayúsculas/minúsculas o añaden más caracteres.

En este contexto, los investigadores han desarrollado procedimientos que permiten probar numerosas modificaciones frecuentes de una contraseña básica existente y alcanzar así el objetivo mucho más rápidamente.

¿Suficiente?

En muchos cursos de formación sobre seguridad, se inculca a los usuarios que utilicen contraseñas diferentes para los distintos accesos y que separen los asuntos privados de los profesionales.

Pero el hombre es un animal de costumbres, la realidad se ve de otra manera.

Hay que suponer que muchos también utilizan contraseñas iguales o similares para sus cuentas privadas. Esto hace que, de repente, el pirateo de un proveedor externo sea relevante, especialmente si las contraseñas se roban en texto plano.

Esto se debe a que los atacantes disponen de una gran base de contraseñas básicas de un plumazo, que pueden probar simplemente con modificaciones contra el acceso de la empresa.

Bien está lo que bien acaba...

El ejemplo de las contraseñas demuestra que la seguridad no es un proceso técnico unidimensional. Las decisiones técnicas influyen directamente en otras dimensiones, en las personas y en los procesos.

Una decisión que hace que el sistema sea más seguro desde un punto de vista técnico puede tener un impacto masivo en otras dimensiones, de modo que la seguridad del sistema global puede resentirse.

¿Realmente es necesaria la contraseña de máxima seguridad con caracteres especiales para todos los servicios, o la autenticación no es también adecuada al nivel de confidencialidad?suficientemente bueno"?

O, por otro lado, ¿el hecho de modificar la contraseña no soluciona simplemente el síntoma? En algunos casos, la autenticación mediante dos factores o biométrica puede tener sentido.

La decisión sobre cómo proteger qué accesos depende del personal, los servicios, los procesos y las posibilidades técnicas.

Y esta decisión debe tomarse en última instancia tras una evaluación de riesgos que tenga en cuenta algo más que la dimensión técnica.

Aquí no hay un acierto o un error general: las decisiones siempre tienen que verse en el contexto de la finalidad del uso y la voluntad de asumir riesgos. Y esto se aplica tanto a las contraseñas como a otras técnicas y procesos de seguridad informática.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.