Los usuarios no aprenden: contraseñas débiles


La verdad es increíble como muchos de los usuarios que trabajan en empresas no le toman la importancia debida a sus contraseñas y mas aun si son servicios como el correo electrónico.

Les comento que hace unos días atrás estuvimos con un Analista de Seguridad de la empresa donde laboro creando un pequeño laboratorio, el cual consistía en encontrar la mayor cantidad de usuarios que dejan sus contraseñas con palabras que son tan fáciles de encontrar que casi ni demando esfuerzo.

Para esto creamos una pequeña aplicación en Java, que consistía en leer una lista de usuarios colocando una contraseña al azar y comenzábamos a escanear la cantidad de usuarios que tenían esta contraseña y vaya sorpresa que nos dimos, no habíamos llegado ni a la mitad y ya teníamos 97 usuarios con esta contraseña.


La empresa tiene una política de capacitación y orientación para este tipo de temas, es mas, siempre se les indica que deben de cambiar la contraseña del correo de forma periódica, pero al parecer a los usuarios poco les importa lo critico que podría ser esto. Es tan cierto al decir que el eslabón mas débil en la seguridad son los usuarios.

Tal vez muchos se preguntaran, ¿y porque no utilizaron herramientas ya existentes?, bueno la verdad decidimos crear esta pequeña aplicación como punto de partida debido a que le seguiremos agregando mas cosas y tal vez mas adelante tener una herramienta definitiva para estos fines.

Anuncios

6 thoughts on “Los usuarios no aprenden: contraseñas débiles

  1. Hola, sobre lo que comentas, está claro que los usuarios le dan poca importancia a estas cosas, les cuesta dimensionar la importancia de tener una contraseña fuerte y principalmente “privada”, en mi trabajo hay casos en que comparten libremente sus contraseñas porque el uno justo salió de vacaciones y el reemplazante, por no tener los permisos a las aplicaciones que necesita, utiliza la sesión del otro usuario, y la lista de casos es larga..

    Tuve un caso extremo, donde una persona del departamento de “auditoría” me solicitó que quitase de su perfil de usuario la política que le obligaba a cambiar su contraseña cada “dos” meses (si 2 meses, no es la política más restrictiva que digamos), excusándose de que utilizaba muy poco el sistema y que cada vez que necesitaba acceder se olvidaba de que contraseña tenía, lo simpático del caso es que tuve que permitírselo previa confirmación por escrito.

    Como esperar la solución por parte del usuario puede ser una experiencia traumática para el encargado de seguridad, la única solución para el caso es implementar cambios de contraseñas obligatorios y automatizados por sistemas para todos los usuarios, en nuestra empresa obligamos a cambiar cada cierto periodo de tiempo y la clave debe cumplir con ciertos criterios específicos como longitud, uso reiterativo de la misma contraseña, contenido, etc.

    Un saludo desde Py..

    PD: Feliz Navidad!!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s