Lo más probable es que jamás haya oído charlar de la Publicación singular ochocientos-sesenta y tres del Instituto Nacional de Estándares y Tecnología (NIST), Apéndice A. Mas ha estado utilizando su contenido desde su primera cuenta online y su clave de acceso hasta el día de hoy. En verdad, allá hallará las primeras reglas de clave de acceso, como la combinación de una letra minúscula y mayúscula, un número y un carácter singular, y la recomendación de mudar su clave de acceso cada noventa días.
Solo hay un inconveniente. Bill Burr, quien originalmente puso estas reglas en su sitio, piensa que lo ha deteriorado. “Ahora me arrepiento de mucho de lo que hice”, afirmó Burr a The Wall Street Journal hace unos años.
По какой причине? Pues la mayor parte de la gente no se molesta en hacer importantes cambios cuando llega el instante de actualizar la clave de acceso. Por poner un ejemplo, en vez de "Abcdef1?" lo cambiamos a "Abcdef1!" entonces "Abcdef". Así enseguida.
Debido a que detestamos estas reglas, acabamos utilizando claves de acceso absolutamente poco contundentes como "ciento veintitres mil cuatrocientos cincuenta y seis" y "clave de acceso" en su sitio. Cualquier programa de craqueo ordinario va a tardar menos de un segundo en romper alguno de ellos. Es mejor que no use una clave de acceso en lo más mínimo.
Y, si lo hace "bien", acabará con claves de acceso horriblemente bastante difíciles de rememorar. ¡Recuerdo cadenas semi-arbitrarias como xkcd936! EMC2; la mayor parte de la gente no puede.
En cambio, el NIST y el dibujante Randall Munroe tienen una idea mejor: use claves de acceso en vez de claves de acceso. Una oración de clave de acceso, como "ILoveUNCbasketballin2021!" es simple de rememorar y, si bien contiene palabras reales, es parcialmente bastante difícil de descifrar.
No obstante, puesto que todos y cada uno de los servicios del planeta ahora requieren una clave de acceso, de forma frecuente empleamos exactamente las mismas claves de acceso una y otra vez. ¿Simple de rememorar? Если. ¿Simple de descifrar cuando se descifran las claves de acceso de un lugar? Aun más entonces. La violación de datos de compilaciones de dos mil diecinueve descubrió más de dos con diecinueve mil millones de direcciones de mail y sus claves de acceso asociadas. Con una nueva brecha de seguridad que ocurre prácticamente todas las semanas, no es "si" sus claves de acceso van a ser reveladas, es en qué momento.
"¿No te?" ¡Decir ah! Hágase un favor y compruebe su dirección de mail con el servicio HaveIbeenPwned y prepárese para dejarse pasmado. Se supone que soy un especialista en seguridad y mi cuenta de mail primordial ha tenido claves de acceso reveladas en veintisiete, cuéntelas veintisiete, violaciones de datos.
Entonces, si bien emplear claves de acceso en vez de claves de acceso está bien, no es suficiente. Tengo otras 2 recomendaciones para y sus empleados.
Primero: escoja un administrador de claves de acceso estándar y demande que sus empleados lo utilicen. Esto le ofrece 2 ventajas. La mayor parte puede producir de forma automática cadenas largas y arbitrarias y, seguidamente, sus empleados jamás deben rememorar solamente que una clave de acceso maestra; el programa efectúa un seguimiento de todos los otros.
¿Qué administrador de claves de acceso? Utilizo el administrador de claves de acceso integrado de Chrome para cualquier cosa que funcione mediante un navegador. Mas sé que no todo el planeta confía en Google.
En el otro lado del administrador integrado tan simple de emplear, es prácticamente invisible en Google Chrome, está el KeePass de código abierto. Con esto, sostiene las claves de acceso en las máquinas locales (que tienen sus preocupaciones de seguridad corporativa) o bien en un servicio en la nube. KeePass requiere una administración especialista para marchar bien, mas si ya está usando Linux como la columna vertebral de su departamento de TI, probablemente su gente esté a la altura del reto.
Por último, asimismo me agrada LastPass. Seguramente sea el administrador de claves de acceso más popular. Es una bendición mixta. Tiene tantos usuarios por el hecho de que es bien simple y sostiene todo en su servicio en la nube. Estas son las buenas noticias. La mala nueva es que es tan popular que los piratas informáticos acostumbran a atacarlo.
Los criminales solo ingresaron a LastPass una vez, en dos mil quince. Aun entonces, los piratas informáticos no rompieron las claves de acceso de los clientes del servicio. Desde ese momento, LastPass ha mejorado su seguridad interna.
¿Podría lastimarse LastPass, o bien cualquiera de los otros? Конечно. La seguridad no es un producto, es una lucha eterna. Mas cualquier administrador de claves de acceso usado apropiadamente contribuirá en buena medida a resguardar sus sistemas.
Por último, las claves de acceso por sí mismas no son suficientes. Verdaderamente precisa adoptar la autentificación de 2 factores (2FA) para resguardar su negocio. Con 2FA, precisa 2 de los 3 géneros de credenciales para acceder a una cuenta.
- Algo que sepa o bien pueda regalar; esto se conoce generalmente como un PIN de un solo uso.
- Algo que tenga, como una tarjeta de identificación segura o una llave de seguridad de hardware.
- Algo que eres, que incluye factores biométricos como una huella digital, un escaneo de retina o una huella de voz.
Hay tres métodos básicos para hacer esto. Primero, puede emplear un programa 2FA que genera un código PIN, que luego se le envía a través de un mensaje de texto. Si bien es fácil de usar, si alguien realmente quiere ingresar a sus cuentas, es probable que pueda hacerlo. NIST ahora recomienda que no utilice 2FA basado en texto.
El siguiente paso es utilizar un programa 2FA para generar códigos PIN. En general, las aplicaciones de autenticación 2FA son útiles y seguras, y puede ejecutarlas en su teléfono inteligente sin los peligros de enviar mensajes de texto. Las opciones populares incluyen Authy, Google Authenticator, LastPass Authenticator y Microsoft Authenticator.
Finalmente, si realmente desea bloquear las cuentas y computadoras de sus usuarios, use hardware 2FA. Puede comprar estos dispositivos entre € 20 y € 60. Algunos de los mejores son Google Titan Key, Kensington VeriMark Fingerprint Key, Thetis Fido UCF Security key, Yubikey 5 NFC y YubiKey 5C. Simplemente conéctelos a la computadora y sus empleados estarán listos para comenzar.
¿Es un problema mucho mayor que escribir contraseñas en una nota adhesiva en su PC? Sí lo es. Pero también es mucho más seguro, y entre los administradores de contraseñas y las aplicaciones o bien dispositivos 2FA, no es bastante difícil hacerlo.
¿Me? Deseo que los datos de mi empresa estén seguros en mis manos, no en las garras de Joe Pirata informático.
Итак, прочтите это:
<p>Copyright © dos mil veintiuno IDG Communications, Inc.</p>