En el mundo digital actual, la seguridad de las contraseñas es más importante que nunca. Si bien la biometría, las contraseñas de un solo uso (OTP) y otras formas emergentes de autenticación a menudo se promocionan como reemplazos de la contraseña tradicional, hoy en día, este concepto es más una exageración de marketing que cualquier otra cosa.
Pero el hecho de que las contraseñas no vayan a ninguna parte en el corto plazo no significa que las organizaciones no necesiten modernizar su enfoque de higiene de contraseñas en este momento.
Resumen
La crisis de credenciales comprometidas
Como dijo el equipo de seguridad de Microsoft, «Todo lo que se necesita es una causa de credencial comprometida para causar una violación de datos». Junto con el problema rampante de la reutilización de contraseñas, las contraseñas comprometidas pueden tener un impacto significativo y duradero en la seguridad empresarial.
De hecho, los investigadores de la Universidad Virginia Tech descubrieron que más del 70 % de los usuarios emplearon una contraseña comprometida para otras cuentas hasta un año después de que se filtró inicialmente, y el 40 % reutilizó las contraseñas que se filtraron hace más de tres años.
Si bien el desafío de las credenciales comprometidas no es exactamente nuevo para la mayoría de los líderes de TI, es posible que se sorprendan al saber que sus intentos de abordar el problema a menudo crean más vulnerabilidades de seguridad.
Los siguientes son solo algunos ejemplos de enfoques tradicionales que pueden debilitar la seguridad de las contraseñas:
- Complejidad de la contraseña obligatoria
- Restablecimientos periódicos de contraseña
- Limitaciones en la longitud de la contraseña y el uso de caracteres
- Requisitos de caracteres especiales
Un enfoque moderno para la seguridad de las contraseñas
Dadas las vulnerabilidades asociadas con estos enfoques heredados, el Instituto Nacional de Estándares y Tecnología (NIST) revisó sus recomendaciones para fomentar mejores prácticas de seguridad de contraseñas más modernas. En la raíz de las recomendaciones más recientes de NIST está el reconocimiento de que los factores humanos a menudo conducen a vulnerabilidades de seguridad cuando los usuarios se ven obligados a crear una contraseña que se alinea con requisitos de complejidad específicos o se ven obligados a restablecerla periódicamente.
Por ejemplo, cuando se les pide que usen caracteres y números especiales, los usuarios pueden seleccionar algo básico como «P @ ssword1;» una credencial que es claramente común y fácilmente explotada por piratas informáticos. Otro enfoque heredado que puede tener un efecto adverso en la seguridad son las políticas que prohíben el uso de espacios o varios caracteres especiales en las contraseñas. Después de todo, si desea que sus usuarios creen una contraseña segura y única que puedan recordar fácilmente, ¿por qué impondría limitaciones sobre lo que podría ser?
Además, NIST ahora recomienda que no se restablezcan periódicamente las contraseñas y sugiere que las empresas solo requieran que se cambien las contraseñas si hay evidencia de compromiso.
El papel de las soluciones de verificación de credenciales
Entonces, ¿cómo pueden las empresas monitorear las señales de compromiso? Al adoptar otra recomendación del NIST; es decir, que las organizaciones evalúen las contraseñas contra las listas negras que contienen credenciales de uso común y comprometidas de manera continua.
Esto puede parecer bastante simple, pero es importante seleccionar la solución adecuada de detección de credenciales comprometidas para el panorama de amenazas intensificado de hoy.
No hay sustituto para Dynamic
Existen numerosas listas negras estáticas disponibles en línea y algunas empresas incluso elaboran las suyas propias. Pero con múltiples violaciones de datos que ocurren en tiempo real, las credenciales recientemente comprometidas se publican continuamente en la Dark Web y están disponibles para que los piratas informáticos las aprovechen en sus ataques en curso. Las listas negras existentes o las que solo se actualizan periódicamente a lo largo del año simplemente no son rival para este entorno de alto riesgo.
La solución dinámica de Enzoic compara las credenciales con una base de datos propietaria que contiene miles de millones de contraseñas expuestas en violaciones de datos y encontradas en diccionarios de descifrado. Debido a que la base de datos se actualiza automáticamente varias veces al día, las empresas tienen la tranquilidad de saber que la seguridad de sus contraseñas está evolucionando para abordar la información más reciente sobre infracciones sin necesidad de trabajo adicional desde una perspectiva de TI.
La verificación de las credenciales tanto en el momento de su creación como la supervisión continua de su integridad a partir de entonces también es un componente importante de un enfoque moderno de la seguridad de las contraseñas. Si una contraseña previamente segura se ve comprometida en el futuro, las organizaciones pueden automatizar la acción adecuada, por ejemplo, forzar un restablecimiento de contraseña en el próximo inicio de sesión o cerrar el acceso por completo hasta que TI investigue el problema.
El camino a seguir
Si bien las pautas del NIST a menudo informan recomendaciones de mejores prácticas en la industria de la seguridad, en última instancia, depende de los líderes de seguridad determinar qué funciona mejor para sus necesidades únicas y adaptar sus estrategias en consecuencia.
Según su industria, el tamaño de la empresa y otros factores, quizás algunas de las recomendaciones no sean apropiadas para su negocio.
Pero con el aluvión diario de ataques cibernéticos que no muestran signos de disminuir y que con frecuencia están vinculados a vulnerabilidades de contraseñas, no es fácil imaginar una organización que no se beneficie de la capa de seguridad adicional que ofrece la verificación de credenciales.
Obtenga más información sobre la inteligencia dinámica contra amenazas de contraseñas de Enzoic y cómo puede ayudarlo a reiniciar su enfoque de higiene de contraseñas aquí.
