Generar una contraseña segura con el generador aleatorio

Un generador de contraseñas aleatorias para la seguridad de las empresas

¿Por qué los inicios de sesión son cruciales para la seguridad de las empresas?

La forma en que trabajamos está cambiando, y el número de contraseñas se está disparando.

A medida que nuestras organizaciones se vuelven cada vez más digitales, el número de herramientas y aplicaciones digitales que permiten a los empleados gestionar, compartir o acceder a la información ha aumentado considerablemente.

Las soluciones SaaS (software como servicio), por ejemplo, han pasado de 16 por empleado en 2017 a ¡más de 130 en 2022! (estudio Better Cloud).

Esta proliferación de herramientas ha aumentado automáticamente el número de contraseñas que debe gestionar cada persona, lo que ha dado lugar a la aparición de malas prácticas bien conocidas:

• Contraseñas idénticas para todas las aplicaciones.
• Contraseñas almacenadas en navegadores web.
• Contraseñas escritas en cuadernos o notas adhesivas.
• Contraseñas almacenadas en un archivo csv en el escritorio.

Para cada una de nuestras herramientas, hay que crear, gestionar, almacenar e incluso renovar regularmente una contraseña única para limitar el riesgo de filtraciones.

Contraseñas: una cuestión clave para las empresas

Las contraseñas son la puerta de acceso a multitud de recursos digitales.
Aseguran el acceso a datos cruciales como :

• Datos personales de empleados o clientes (a través de CRM, por ejemplo).
• Acceso a las herramientas internas de la empresa (por ejemplo, Back-Office)
• Las redes sociales de la empresa
• Cuentas de clientes (para sucursales)
• Acceso a los recursos del departamento informático
• Estados financieros o contables (a través de herramientas de tesorería)

Por tanto, está claro que confiar la creación de estos accesos a cada empleado puede crear un riesgo considerable de ciberataque.

Los empleados, por razones de comodidad, tienden a menudo a crear contraseñas simples y memorizables o a utilizar la misma contraseña en todas partes, una puerta abierta para los ciberatacantes.

De hecho, en 2019 se ha desarrollado un proyecto denominado Proyecto Richelieu para ayudar a los responsables de la seguridad de los datos en las empresas a proteger mejor los accesos, cuya génesis es la siguiente:

Los ataques de diccionario se utilizan a menudo en criptoanálisis para probar la robustez de los accesos. Consisten simplemente en probar todas las contraseñas de un "diccionario" (una lista de identificadores de uso común) para comprobar que el acceso utilizado es único y robusto, y que tiene una longitud suficiente.

Contraseñas débiles: una puerta de entrada para los ciberataques.

Todo el mundo ha utilizado "1234" como contraseña al menos una vez.

Se podría pensar que estas contraseñas débiles sólo se utilizan para cuentas inútiles y que todo el mundo utiliza cadenas de caracteres más complejas, que contienen mayúsculas, minúsculas, números e incluso caracteres especiales para que sus cuentas en línea sean lo más seguras posible.

Sin embargo, la importancia de proteger los propios datos aún no ha arraigado en todo el mundo, y muchas personas utilizan identificadores simplistas o basados en información personal como su fecha de nacimiento, que no son muy robustos.

Las estadísticas son alarmantes: un estudio reciente de Verizon muestra que una gran mayoría de las violaciones de datos se deben a contraseñas débiles o robadas. Estas cifras ilustran la magnitud del peligro que representan las contraseñas débiles para la seguridad de las empresas.

Por lo tanto, tiene que conseguir desterrar las malas prácticas de sus empleados para poder proteger eficazmente todos sus datos, introduciendo al mismo tiempo métodos y políticas de seguridad claros y fáciles de aplicar por todos los empleados.

¿Por qué utilizar un generador de contraseñas aleatorias?

Las ventajas de generar contraseñas aleatorias

Utilizar un generador de contraseñas aleatorias ofrece dos garantías: robustez y unicidad.

• Solidez: puede estar seguro de que sus contraseñas serán sólidas y seguras.
• Unicidad: Todos sus accesos se generarán de la misma manera, por lo que ninguno puede representar un punto débil.

Una contraseña generada aleatoriamente es casi imposible de adivinar, ya que no sigue ningún patrón lógico o predecible.

Sin embargo, si el identificador no es lo suficientemente largo, o si sólo utiliza un tipo de caracteres (sólo números o minúsculas), podría seguir siendo vulnerable a un ataque de fuerza bruta, aunque sea aparentemente robusto.

Pero queda otro reto: la gestión y el almacenamiento de estas contraseñas.

Escribir las contraseñas en un post-it, en un archivo Excel o en el teléfono móvil no es, evidentemente, la solución, dados los riesgos de pérdida o robo. Sin embargo, se trata de un comportamiento que observan a menudo los CISO o los responsables cibernéticos de las empresas.

Por desgracia, a veces es difícil cambiar los hábitos de los empleados menos técnicos a la hora de gestionar sus contraseñas. Estos últimos no se oponen a la idea de adoptar prácticas más seguras, pero deben ser rápidas y fáciles de utilizar para no obstaculizar su productividad.

Veremos más adelante cómo gestionar correctamente las contraseñas, una vez generadas al azar.

Cumplimiento de las normas de ciberseguridad

En la actualidad existen varias directrices sobre contraseñas y generación de contraseñas.

Estas directrices proporcionan a las organizaciones un marco para asegurar su acceso.

He aquí tres de ellas:

• Recomendaciones de la ANSSI;
• Las recomendaciones de la CNIL;
• La norma ISO27001.

Uno de los puntos más importantes a tener en cuenta cuando se opta por generar contraseñas aleatorias es que resulta más fácil garantizar el cumplimiento de las recomendaciones de la ANSSI (Agence nationale de la sécurité des systèmes d'information) dentro de su organización.

Según la ANSSI, una contraseña debe tener al menos 15 caracteres y contener una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales para que se considere segura.

Aunque estas reglas pueden cumplirse sin la ayuda de un generador, los usuarios tienden a crear contraseñas previsibles, para recordarlas mejor, incorporando números y símbolos de forma transparente, por ejemplo transformando "password" en "p@ssw0rd".

Estas versiones aparentemente robustas de las contraseñas son bien conocidas por los piratas informáticos y no representan una seguridad fiable contra ellos.

Una herramienta como un generador aleatorio evita estos escollos creando combinaciones imprevisibles, complejas y, por tanto, más seguras.

Además de reducir el riesgo de ciberataques, el uso de un generador de contraseñas permite cumplir las directrices de la CNIL.

Aunque la CNIL recomienda el uso de la doble autenticación en lugar de una sola contraseña, admite que una sola contraseña segura es suficiente para muchos usos, en particular los que no implican datos personales.

Por último, si desea obtener o renovar la certificación ISO 27001, esta última también establece un marco claro en torno a la pregunta "¿Quién tiene acceso a qué?

Esta pregunta forma parte integrante de la norma y, por tanto, también debe guiar su reflexión y su trabajo.

Más concretamente, el anexo A.9 de la norma aborda la cuestión del control de acceso lógico a través de 4 subsecciones, que hemos resumido a continuación:

• A.9.1 Requisitos empresariales para el control de acceso: Definir los procesos que detallan quién debe tener acceso a qué.
• A.9.2 Gestión de accesos de usuarios: definir los procesos utilizados para gestionar el acceso a la información por parte de los empleados a lo largo del tiempo (asignación y revocación de derechos de acceso).
• A.9.3 Responsabilidad de los usuarios: definir los procesos que permiten a los empleados generar un acceso suficientemente sólido (generador de contraseñas) y compartirlo con las personas adecuadas (gestor centralizado).
• A.9.4 Responsabilidad del acceso a los sistemas y aplicaciones: Defina los derechos de acceso de todas las personas de la organización.

Contraseñas seguras para toda la empresa

Utilizar un generador de contraseñas aleatorias a título individual es un primer paso para reducir el riesgo de ciberataques y debería convertirse en un hábito.

Sin embargo, lo ideal es que esta práctica se convierta en un hábito para el mayor número posible de personas de los equipos.

Se pueden poner en marcha varias palancas, y lo ideal es que se activen conjuntamente:

• Poner a disposición de todos los empleadosun generador de contraseñas aleatorias .
• Definir una o varias políticas de contraseñas e imponerlas en función de los derechos y el nivel de privilegios de cada persona.
• Comunicar las mejores prácticas y las herramientas que deben utilizarse.
  

Esta palanca de "comunicación" es esencial para anclar los buenos reflejos en la vida cotidiana de todos los empleados:

• Utilizar un generador de contraseñas aleatorias para crear y/o renovar las contraseñas.
• Generar las contraseñas mediante el generador respetando la política de contraseñas de la empresa.
• Utilizar un gestor de contraseñas centralizado para gestionar las contraseñas a diario y acceder directamente a los recursos adecuados.

La implantación de un generador de contraseñas aleatorias en todos los niveles de la empresa, junto con una política de contraseñas adecuada, permite garantizar una seguridad uniforme de las contraseñas.

Esta unicidad es esencial en ciberseguridad porque, no lo olvidemos, incluso un acceso que inicialmente parece inocuo puede facilitar a un atacante moverse lateralmente dentro del sistema de información de la empresa y recuperar información crítica.Un ataque de phishing exitoso a un miembro de un equipo puede acabar con un ejecutivo en el punto de mira y extraer datos confidenciales. Esto se conoce comofraude de ingeniería social.

¿Cómo se utiliza un generador de contraseñas aleatorias?

¿Qué parámetros deben utilizarse para generar una contraseña segura?

"¿Cómo puedo crear una contraseña segura?" Probablemente ya se haya hecho esta pregunta.

En realidad es bastante sencillo.

Hay dos parámetros principales que afectan a la seguridad de una contraseña:

• El número de caracteres utilizados, es decir, la longitud de la contraseña.
• El conjunto del que se extraen estos caracteres. Por conjunto entendemos todos los caracteres que pueden incluirse en la contraseña.

A la hora de crear una contraseña, las recomendaciones de la ANSSI sugieren un mínimo de 15 caracteres de una amplia gama de símbolos, incluyendo mayúsculas, minúsculas, números y caracteres especiales.

En LockSelf, recomendamos ir más allá, optando por una longitud de 18 caracteres.

Aunque esta recomendación pueda parecer más exigente, ofrece una mayor seguridad a un coste mínimo en términos de complejidad. Y con las herramientas adecuadas, nada le impide optar por longitudes mucho más largas para garantizar que su acceso sea siempre más robusto.

De hecho, según un estudio de Hive Systems, una contraseña de 18 caracteres aumenta exponencialmente el tiempo que tarda un posible pirata informático en descifrarla, lo que refuerza considerablemente la barrera de seguridad contra los hackers.

Para concluir con las buenas prácticas en la generación de contraseñas aleatorias, uno de los métodos existentes es la frase de contraseña. Las frases de contraseña son una alternativa interesante a las contraseñas tradicionales porque contienen muchos más caracteres.

Estas secuencias de palabras suelen formar frases con sentido, lo que las hace más fáciles de memorizar, además de ser relativamente robustas. Sin embargo, las frases de contraseña tienen sus defectos. Su generación no siempre es aleatoria y pueden carecer de diversidad de caracteres, lo que limita su eficacia. Por ejemplo, siempre según un estudio de hive système, el simple hecho de combinar números con letras minúsculas puede multiplicar por 100 y más la robustez de una contraseña.

Por eso, las frases de contraseña que suelen estar compuestas íntegramente por letras pueden resultar problemáticas.

Es más, si no utilizas una herramienta para almacenar tus credenciales, una frase de contraseña puede ser difícil de recordar, aunque tenga sentido.

Cómo combinar el generador con otras medidas de seguridad.

Es esencial recordar al personal y a la dirección que, aunque las contraseñas seguras son esenciales, sólo son un aspecto de la estrategia de seguridad global. Las contraseñas pueden ser robadas mediante ataques de phishing, por ejemplo, en cuyo caso su solidez tiene poca importancia.

Por ello, la ANSSI recomienda el uso de la autenticación multifactor (AMF) para reforzar la protección de las cuentas. La combinación de contraseñas fuertes generadas aleatoriamente con otras formas de autenticación, como la validación telefónica o las claves de seguridad, forma un baluarte mucho más fuerte contra los intentos de intrusión.

Almacenar contraseñas: un error demasiado común

Ya lo hemos mencionado antes en este artículo, pero uno de los escollos más comunes en la gestión de contraseñas es su almacenamiento inadecuado.

"Tener una cerradura difícil de forzar es un gran comienzo, pero si la llave se deja a la vista, los esfuerzos son en vano".

A menudo nos hemos encontrado con CIO preocupados por los problemas de contraseñas porque su personal las almacenaba en :

• Post-its a la vista de todos
• Archivos Excel intercambiados por unidad
• Directamente en sistemas de mensajería instantánea (por ejemplo, Slack)
• En correos electrónicos que a veces se habían intercambiado durante varios meses
• En una nota en el teléfono.

Por lo tanto, el uso combinado de generadores y gestores de contraseñas es crucial.

Estos últimos permiten almacenar todas las contraseñas de forma segura, eliminando la necesidad de memorizarlas o escribirlas en soportes vulnerables.

Y para una mayor rapidez y simplicidad, los gestores de contraseñas ofrecen herramientas de autorrellenado de campos mediante plugins de navegador, para que pueda conectarse con sólo dos clics o guardar sus nuevos accesos al crear una cuenta.

Una función muy práctica si se tiene en cuenta el número de contraseñas que una sola persona tiene que gestionar cada día.

Integre el generador de contraseñas de Lockself en su sistema de información

Como hemos mencionado anteriormente, para que su acceso sea lo más seguro posible, debe utilizar un generador de contraseñas aleatorias.

A continuación, para evitar cualquier problema de almacenamiento, debe asociar este generador a un gestor de contraseñas que le permita guardarlas en un lugar seguro.

Por último, en lo que respecta a la gestión de accesos, la respuesta a la pregunta "¿Quién tiene acceso a qué? También debes tener cuidado de seleccionar un gestor diseñado para empresas que te facilite el trabajo como administrador y gestor de seguridad.

Si resumimos estos tres puntos, obtenemos:

• Una generación de contraseñas robusta forzada por una política adecuada
• Una caja fuerte segura para almacenar cada una de las cuentas de tu empresa
• Gestión avanzada de bóvedas para asignar y controlar el uso de los accesos.
  

LockPass, la caja fuerte de contraseñas de LockSelf, cumple estos tres requisitos al incluir un generador de contraseñas, cuya versión adaptada puede probar en esta página.