Te cambio tu password por un chocolate
Email |
¿Desea imprimir?
Regístrese ahora
¿En cuánto venderías el password que te da acceso a tu red corporativa? Pues en un estudio que hicieron en el 2004 en Londres, investigadores de seguridad informática ofrecieron a gente una barra de chocolate a cambio de revelar sus passwords, y 70% aceptó. Y de hecho un 34% reveló su password a cambio de nada. Esto demuestra falta de concientización sobre los riesgos en el manejo de passwords.
¿Qué tan consiente está la gente en tu empresa? Haz esta prueba de ingeniería social. Márcales a 20 personas (que no te conozcan la voz) y diles algo como “Hola Lupita, habla Luis de sistemas, oye, necesito que me des tu password porque le estamos dando mantenimiento a los servidores”. De las veces que he hecho esta prueba, por lo menos la mitad me revela el password.
Se pueden hacer campañas de concientización, y la gente hará caso un mes, y luego se les olvidará las medidas de seguridad aprendidas. También se pueden establecer políticas estrictas de manejo de passwords, tales como que tengan más de 8 caracteres, con mayúsculas y minúsculas, con caracteres especiales, y que caduquen cada cierto tiempo. Pero entre más complejo sea un password, más probabilidades de que el usuario lo escribirá en un post-it y lo pegará al lado de su pantalla.
Yo la táctica que te propongo es el uso de sistemas biométricos, en particular sistema de reconocimiento de huella digital. Tienes las siguientes opciones de hardware:
1. Lectores de huella digital dedicados
2. Lectores integrados al mouse
3. Lectores integrados al teclado
4. Lectores integrados en las laptops
Para las PCs instaladas en tu red actualmente, te recomiendo el uso de mouse con lector integrado, ya que es más práctico que el lector de huella digital dedicado, y más barato que los teclados con lector integrado. Busca en Google “biometric mouse” para ver varias opciones.
En el caso de las laptops que tienes actualmente en tu red, les puedes agregar el mouse con lector, y cuando comiences a renovar laptops, adquiérelas con el lector integrado. Busca en Google “biometric laptop” para que veas lo que hay disponible.
Por el lado de servidores, te recomiendo que uses autenticación de doble factor, o sea usando un password y un token. Checa por ejemplo la solución SecurID de RSA.
Si combinas acceso biométrico para las PCs, junto con acceso de doble factor para los servidores, reducirás significativamente el riesgo que representan los passwords.
Sergio Castro es gerente de Qualys Latinoamérica (www.qualys.com), y se especializa en análisis de vulnerabilidades, seguridad de aplicaciones web, y la norma PCI. (scastro@qualys.com)
No hay artículos relacionados.
