En mi empresa de por las mañanas, estoy probando un proyecto nuevo, que incluye un sistema de identificación de los usuarios, distinto al que hasta ahora se empleaba.
Los compañeros de informática han cogido un libro de seguridad informática y han implantado todo lo que en estos casos se recomienda, vamos un trabajo de libro:
- Contraseñas con un mínimo de 8 caractares
- Reglas para formar las contraseñas, no se admiten las fáciles del tipo 111111 o 123456…
- Obligatoriedad de mezclar letras y números
- Uso de esquemas en las contraseñas, así se tiene que crear la contraseña con dos números, dos letras, un numero y tres letras, y alguna letra ha de ser mayúscula y los números siempre diferentes (y no me lo invento)
- Los esquemas cambian con el tiempo. Es decir un mes se usa el esquema anterior y otro mes uno totalmente diferente.
- Los nuevos esquemas, no se anuncian en ningún sitio, a base de prueba y error se deben descubrir
- Las contraseñas deben cambiarse obligatoriamente cada dos meses.
- Las nuevas contraseñas no se pueden parecer a las antíguas
- Si fallas tres veces al introducir la contraseña, te borra el usuario
- Los errores se acumulan y no se puede reiniciar el contador, es decir no vale a fallo dos veces, me salgo y al rato vuelvo a entrar.
Al final, están consiguiendo un resultado totalmente contrario a lo que buscaban. Con el sistema anterior, cada uno tenía una contraseña más o menos segura, pero era propia de cada usuario y a nadie se le ocurría escribirla en ningún sitio.
Con el sistema nueva, la mitad de la gente tiene la contraseñas en un posit pegado al lado de la pantalla o en un fichero en el PC, porque por un lado no hay dios que se acuerde de la contraseña, te la cambian cada dos meses y al final si te equivocas, estás dos días sin poder acceder; porque esa es otra, tardan mucho en volver activo a un usuario caído.
Reconozco que es un tema difícil, pero yo creo que algunas de las reglas están de más y al final el sistema va a quedar más inseguro.
22 Comentarios
Comentarios Cerrados
Completamente de acuerdo contigo. Creo que estas medidas en teoría están muy bien pero, a la hora de llevarlas a la práctica, hacen agua por todas partes. En mi empresa, a parte de todas las reglas que has indicado, no se puede repetir ninguna de las 13 contraseñas anteriores, y la nueva no debe parecerse mucho a la anterior (el cuánto puede parecerse es un misterio).
Nosotros no usamos postit, si no medio folio para tener apuntadas las claves de los compañeros, porque, además de todo esto, se les ocurrió que los equipos se bloqueen automáticamente a los 10 minutos de inanctividad, por lo que si alguien necesita algo de tu ordenador y estas reunido, pues no hay manera.
Y tanta seguridad ¿para qué? Ni que trabajáramos con temas de seguridad nacional (¿o sí?)
ja. pues que opten por lo que hace el administrador de la red de mi empresa, que después de 5 años de estudios de criptología y seguridad de redes, ha optado por poner como clave tu nombre de usuario (si tu usuario es PEPE, tu clave es PEPE)…siendo además esta fantástica regla conocida por toda la empresa,por lo que el uso de la clave carece de cualquier sentido, pero míralo, ahí está él siendo el tío más feliz del mundo asignando claves de esa manera…ah¡, se me olvidaba, el susodicho en cuestión es sobrino del jefe supremo de la empresa…
Mas de 8 caracteres? logico
Intercalar letras minusculas con mayusculas y numeros? logico
Prohibir contraseñas faciles? logico
Utilizar esquemas? error, demasiado trabajo para los usuarios de a pie
Deben cambiarse las contraseñas? si, pero no cada 2 meses… la mayoria de la gente en 2 meses ni se acuerda de los 3 primeros caracteres… como para acordarse cada vez de una contraseña nueva. Cada 6 meses es el minimo a no ser que trabajes en el departamento de defensa…
El tema de los errores y los bloqueos? bien, pero siempre y cuando haya velocidad en solucionar problemas porque sino es un atraso
LLamadme histérico, pero creo que todas las medidas encaminadas a aumentar la protección de las contraseñas son buena cosa.
En este caso sobran las de los esquemas. Un esquema reduce el número de combinaciones posibles. Si se deja poner letras y números en una posición hay mas de 50 posibilidades para cada carácter. Si se obliga a poner sólo números en una posición se reducen a 10. Un ataque por fuerza bruta, conociendo el esquema es mucho más fácil.
Aunque parzca que lo de las contraseñas no tiene importancia SI que la tiene. Si trabajas en un banco o una consultora es muy importante.
Y aunque trabajes en una empresilla y creas que no pasa nada hay que ir con cuidado. Si todos conocen las contraseñas de todos y alguien la caga con tu contraseña luego al que cortarán la cabeza será a ti.
Creo que la seguridad es bastante importante, y estoy de acuerdo en lo que apunta AI. Tenemos que saber que la seguridad es incómoda, siempre. Sólo hay que encontrar el equilibrio entre seguridad y comodidad.
Y bajo mi punto de vista siempre pensando más en la seguridad.
Un saludo
A mi me gusta el sistema que utilizan los bancos, es a prueba de tontos: Entras con tu usuario y contraseña normales y luego el sistema te pide un par de códigos de una tarjeta.
Si el usuario pierde la tarjeta el atacante todavía necesita el usuario y el login tradicionales.
Y si el usuario y el login se ven comprometidos el atacante también necesita la tarjeta.
Se han pasado tres pueblos. Yo hubiese implantado un sistema de contrañesas mas sencillo y autentificacion fisica mediante smart card. Creo que es la solucion mas efectiva, un sistema mas equilibrado entre seguridad/usabilidad.
A mi las medidas de seguridad no me parecen mal, antes al contrario y más en el negocio en el que nos movemos. Pero el sistema que nos han implantado, al final es más inseguro, porque todo el mundo lleva la contraseña en un papel o en el PC…
La solución que apunta Xavitxus, me parece la mejor, sobre todo porque una parte de nuestro parque de PCs llevan una ranura para tarjetas físicas, porque hace unos cuantos años se les ocurrió montarlo, pero luego no se hizo…
La seguridad debe ser proporcional a la importancia de los datos guardados y a su confidencialidad. El nivel de seguridad que habeis implantado, es digno de la armada americana, me parece un poco excesivo lo de borrar usuario….
Las contraseñas es algo que no puede gestionar operativamente una persona cuando llegan a tres o cuatro contraseñas.
Las soluciones son las smartcards, certificados en USB, biometría (huella dactilar) y similares.
¿Te borra el usuario? Más bien será que te bloquea la cuenta, digo yo. Porque si no vaya mierda de seguridad, te cargas todas las cuentas de la empresa en media hora.
De hecho bajo mi punto de vista no hay que borrar nunca una cuenta de usuario, ni aunque un tío se vaya de la empresa. Pero esto ya es cosa más discutible.
Saludos
David:
Bloquea el usuario, pero de tal forma que la reactivación lleva un plazo de dos días. Bueno se me olvidaba lo reactivan desde una empresa externa, que tiene que pedírselo a otra empres, no hay forma de hablar con ellos por teléfono, solo por correo…
Alg:
Una persona que es incapaz de recordar 3 o 4 contraseñas no debería tener acceso a datos importantes con un cerebro tan limitado.
Bueno, creo que hay que ver cuanto cuestan los datos y cuanto se arriesga y se pierde por aplicar determinadas medidas de seguridad.
No han aplicado nada de libro, eso ose han saltado el primer capitulo: realización de balance de seguridad y ajuste de los niveles.
No hay que dejar las puertas abiertas ni matar moscas a cañonazos.
No si aveces, los que dicen que saben, la cagan por completo, ¿a quien se le ocurre hacer tal estupidez?.
No si desde luego, hay mucho sabiendo por este mundo.
Yo curro en una caja de ahorros. 8 caracteres, no vale repetir contraseña ni que se parezca mucho, por el lado bueno no hay esquemas, valen números o letras.
El problema es que hay que cambiarla CADA MES, ah, y los ordenadores se bloquean, más o menos al cuarto de hora.
Como en este caso la empresa conoce a sus trabajadores, lo tenemos muy fácil en el caso de olvido. Al tercer intento te bloquea, haces una llamada al departamento, te llaman ellos al minuto para asegurarse de que eres tu, y te reactivan al momento la cuenta con contraseña estándar que te obliga el sistema a cambiar en ese instante.
Creo que es bastante razonable y un punto intermedio entre seguridad y poder trabajar.
una cosa que nunca entendi es el cambiar la contraseña cada x tiempo, que pasa? que mi contraseña hoy es segura pero dentro de 6 meses ya no lo es? o es que ya antes no era segura?
En mi empresa tenemos que cambiar de contraseña cada dos meses y la nueva contraseña no puede haber sido usada en las catorce contraseñas anteriores. Aparte de eso no hay nada más. Bueno, sí, hay algo más. Pasa lo que han indicado más arriba, que como a veces otro compañero puede necesitar tu ordenador todas las contraseñas están apuntadas en una hoja de papel al alcance de todo el mundo. Absurdo, porque como dicen más arriba, el día que pase algo te puedes encontrar conque eres culpable aunque se demuestre lo contrario.
tendero: ¿se ha dado cuenta alguien en tu empresa de lo vulnerables que os habeis vuelto de repente a los sabotajes? Me explico, supongamos que estais negociando el convenio de empresa, se vota y sale que no se hace huelga por un 60-40 %. Al día siguiente cuando van los empleados a trabajar se encuentran con que “alguien” ha hecho tres falsos login (es casi imposible acertar metiendo tres passwords al azar con cada usuario 🙂 ) y de repente, chas, toda la empresa está “haciendo huelga” quiera o no. Se acabaron los esquiroles, con el agravante de que como el trabajador ha ido a su puesto de trabajo la empresa le debe pagar al contrario de lo que pasaría si hubiera hecho huelga. Esto es así porque, como tú has dicho, se tarda tiempo (y pasar a través de un intermediario) en reactivar las cuentas. Y si no funciona todas las mañanas lo mismo, ni siqueira hace falta bloquear todos los ordenadores, basta con que los empleados “conflictivos” bloqueen su propio ordenador “por error” cada dos horas. ¿Cuántas horas de trabajo perdidas son eso?
nando: la gente se puede volver (y se vuelve) descuidada. Se suele decir que la única cosa peor que no tener ninguna seguridad es confiar ciegamente en un sistema de seguridad olvidando que no existe la seguridad perfecta. Va a haber un momento en que a ti, o al tipo que se sienta tu lado, o el de más allá, le va a ser robada su contraseña, ya sea porque la ha dejado apuntada en un postit, porque la ha tecleado delante de alguien no demasaido de fiar, porque ha usado la decha de su cumpleaños… De lo que se trata es de que si la contraseña ha sido “robada” no lo sea para siempre, es decir, si alguien consigue la contraseña de un usuario y hace un uso abusivo o sospechoso de ella va a ser detectado en el momento, pero si hace un uso más discreto tendría la contraseña para siempre. Al obligar al legítimo usuario a cambiar la contraseña cada cierto tiempo se consigue limitar el robo a que sólo se produzcan daños durante ese periodo de tiempo.
Hombre radical ciertamente, pero eso de “borrar” la cuenta, supongo que será “desactivar” la cuenta ¿no?, porque sino me cago en mi suerte negra si soy el administrador de sistema ijijijijij.
Con un poco de lógica se llega a todas partes, pero a veces tantos y otras tan calvos, hay que ver.
@Mi nombre es sombra
Para paliar la suplantacion de identidad tambien hay varios metodos. En mi empresa usamos uno sencillo que es que cada uno tiene su contraseña y mejor que no se la diga a nadie porque si sucede algo el sera el responsable. Y si alguien necesita usar el equipo del compañero puede hacerlo con solo solicitarmelo, incluso manteniendo gran parte de la configuracion de su usuario (Active Directory + Perfiles de Usuario Moviles).
Pues a mi el tema este de tener que cambiar las contraseñas me saca de quicio. En el curro trabajamos con un proveedor que cada cierto tiempo te da de baja la contraseña, y la nueva tiene que ser con las condiciones que comentáis. El problema es que a su web yo entro muuuy de vez en cuando, con lo que nunca me acuerdo de la contraseña que tengo puesta en cada momento. Solución, darle al botoncito de me he olvidado la contraseña, respondo la pregunta de “seguridad” y me mandan una nueva al correo.
Gracias a dios en los portátiles del curro no somos tan remilgados con las contraseñas.
En mi opinión no deberían obligarnos a cambiar de contraseña. Si se desea que te recuerden que deberías cambiarla, pero obligar nunca.
Agur!
[…] Efecto perverso, seguridad o paranoia ? profesional o un trajeado con un libro en la mano ? […]