El problema con las contraseñas: Cómo facilitarle a los empleados mantenerse seguros

La seguridad de las contraseñas ha sido considerada por mucho tiempo como la forma más fundamenta de mantener seguros los datos de una empresa. Pero investigaciones recientes revelan que las contraseñas más populares del mundo –incluyendo “123456” y “password”– nos recuerdan lo que ya sabíamos: que la mayoría de personas aún no entienden los principios más básicos sobre las contraseñas seguras.

Las compañías deberían estar preocupadas de si su información sensible es segura ante los hackers si las contraseñas de sus empleados son tan cegadoramente obvia.

Más allá de las contraseñas que son fáciles de adivinar hay dos riesgos peores. Primero, la gente a menudo utilizará contraseñas con un significado emocional para ellas. Aunque esto ayuda a reducir el riesgo de contraseñas obvias, significa que es menos probable que la gente cambie su contraseña de forma regular, lo que es vital para reducir la amenaza de brechas de seguridad.

Segundo, los empleados reutilizan las mismas contraseñas en diferentes sitios, así que cuando un sitio es comprometido, revela la contraseña de ese individuo a lo largo de todos los otros sitios donde ha sido usada.

Así que, ¿por qué los empleados eligen tan malas contraseñas? Como todos sabemos, elegir, recordar y cambiar contraseñas puede ser inconveniente. Pero los equipos de TI pueden ayudar a los empleados a actuar de manera más segura, sin aumentar la carga en los individuos.

Aunque las contraseñas complejas –una mezcla de números, letras mayúsculas y minúsculas, y símbolos– son a menudo consideradas elementos básicos para la seguridad, solo 29% de las organizaciones sienten que las contraseñas complejas solas ayudan a reducir los riesgos de seguridad. En parte, esto es porque los empleados a menudo escriben o registran electrónicamente sus contraseñas más complejas y difíciles de recordar, lo que puede ser fácilmente perdido o robado.

¿Qué pueden hacer las compañías para mejorar las contraseñas y reducir el riesgo de brechas de datos?

• Implementar revisión de complejidad de contraseña. Es fácil, en la mayoría de los sistemas, obligar a los empleados a usar un mínimo número de caracteres, lo que hoy debe ser establecido en al menos diez tipos de caracteres mezclados, y proyectar las contraseñas contra un diccionario de contraseñas comunes. La contraseña más popular, 123456, viola todas estas tres reglas básicas, mostrando que muchas organizaciones no están forzando una selección de buenas contraseñas. Datos de CEB muestran que la mayoría de las organizaciones están haciendo esto de forma exitosa, pero aún hay lugar para mejoras en la industria.
• Utilice identificación multifactor. La identificación multifactor involucra que los empleados se autentiquen con varias piezas de evidencia, típicamente una contraseña estática más un código de una sola vez desde un token, una app o un mensaje SMS. Debido al costo y la carga en los empleados, muchas compañías solo usan esto para empleados con acceso a datos más sensibles, o para situaciones de mayor riesgo, como acceso remoto. Algo interesante, es que solo 43% de las organizaciones requieren autenticación multifactor antes de permitir conexiones remotas a los sistemas de información de la organización.
• Provea bóvedas de contraseñas. Las bóvedas de contraseñas son aplicaciones de software que ayudan a los usuarios a almacenar y organizar contraseñas. Estos gestores de contraseñas usualmente almacenan contraseñas cifradas, y requieren que el usuario cree una contraseña maestra, una única e idealmente muy fuerte contraseña, que garantiza al usuario acceso a su base de datos de contraseñas. Esto se opone a la necesidad de los usuarios de recordar o mantener copias duras de sus contraseñas, y hace igual de fácil usar una contraseña compleja de 30 caracteres, como lo es usar “123456”.

Muchas compañías ya están tomando pasos en esta dirección, tanto para reducir la carga para los empleados como para mejorar la seguridad de las contraseñas. Casi una en tres (31%) organizaciones han desplegado bóvedas de contraseñas; 29% han incrementado la longitud de las contraseñas y/o la complejidad, pero han reducido la frecuencia de los cambios de contraseña; y 16% han adoptado autenticación multifactor.

Si bien es crucial para las compañías seleccionar una política que las proteja tanto como sea posible, necesitan tener en cuenta los diferentes aspectos de la situación al evaluar cada enfoque contra la capacidad de mitigación de riesgos, facilidad de uso de los empleados y defensa.

Sobre el autor: Jeremy Bergsman es líder de la práctica de TI en CEB.