Si bien una buena política de contraseñas podría parecer algo elemental, el episodio de Gawker revela que no mucha gente toma seriamente su política de contraseñas. Eso me dice que es un buen momento de volver a la vieja escuela con algunas sugerencias de seguridad de contraseñas. Así que aquí están seis pautas básicas de seguridad de contraseñas que se aconseja seguir a todos.
1. Solicite un largo de clave mínimo
Las contraseñas cortas y poco complicadas son casi tan malas como no tener ninguna contraseña. Contraseñas como «perro» y «gato» pueden ser fáciles de recordar, pero son igualmente sencillas para que cualquier otro las adivine. Obligue un largo mínimo de contraseñas de al menos 6-8 caracteres para todos sus usuarios.
2. Cambio frecuente de contraseñas
Una buena regla práctica es forzar el cambio de contraseña cada 90 días o parecido, pero se podrían necesitar cambios más frecuentes, dependiendo del negocio en que uno esté. El colaborador de Windows IT Russell Smith sugiere que los profesionales de TI que trabajan para bancos, hospitales y otras organizaciones que tengan ajustadas requerimientos de seguridad deberían imponer cambios de contraseña más frecuentes.
3. No use palabras del diccionario, frases comunes o cadenas de texto comunes como contraseñas
Cada profesional de TI sabe que algunos usuarios siempre confían en esas contraseñas horribles como «password», «letmein», o «qwerty». Si una palabra existe en un diccionario en inglés (N.T.: o en español) o es una frase común o una cadena común, no permita a sus usuarios usarla sin ninguna modificación.
4. Use caracteres especiales
Requiera el uso de caracteres especiales en sus contraseñas. Reemplazar «i» con el número «1» o la «o» con el número «0» no cuenta. Establezca y fuerce algunas reglas de complejidad rigurosa para todos sus usuarios.
5. No comparta contraseñas con otros
Muchas organizaciones que usan un servicio en la nube que los usuarios comparten acceso son culpables de esto, ya que docenas (sino cientos) de empleados puede que tengan la misma información de ingreso y contraseña. Eso podría ser aceptable si la información o servicio a la que esa contraseña provee acceso no es crítica, pero siempre hay algún riesgo involucrado. Y esta es la pregunta que uno se debe hacer: Si alguien con mala intención consiguiera acceso a ese sistema, ¿cuanto daño podría hacer?. Incluso si el riesgo es bajo, los accionistas y clientes normalmente no les gustaría escuchar sobre ningún tipo de brechas de seguridad o privacidad en las compañías con las cuales trabajan.
6. No use la misma contraseña para múltiples servicios
Demasiada gentes usa la misma contraseña para múltiples servicios en línea y cuentas. Admitiré sin problema que todos debemos hacer malabarismos con docenas de contraseñas de cuentas, pero usar la misma contraseña para todos ellos es como coquetear con el desastre, especialmente si usa la misma contraseña para servicios críticos como la banca electrónica, administrar sus fondos de retiro o inversión, o acceder a su cuenta principal de correo.
En lugar de recurrir a mantener una lista escrita de docenas de contraseñas o usar la misma contraseña para todo, recomiendo fuertemente usar un agregado para el navegador como LastPass, el cual automáticamente lleva registro de todas sus contraseñas de una forma segura.