Buenas a todos, navegantes. De todos es sabido que en cuanto empezamos a registrarnos en muchos sitios distintos, tendemos peligrosamente a repetir nuestra (generalmente la del e-mail, que es de las más antiguas que posee uno) porque no nos acordamos de todas ellas, sobre todo por las distintas políticas que siguen los sitios web para las mismas (longitud, caracteres alfanuméricos, etc.).
    Para esto, existen multitud de herramientas open-source como KeyWallet o todas las que recopiló GenBeta en este artículo. Asimismo, podríamos recurrir a la manida opción de los navegadores “¿Desea que XXX almacene la contraseña para este sitio…?” o guardarlas en un mensaje borrador de nuestra cuenta de e-mail. 
    De todas formas, me gustaría centrarme en la generación de las contraseñas en sí en el entorno laboral, indicando una serie de prácticas o pautas recomendables para la misma (que pueden ser aplicadas también en nuestro uso personal):
 
  1. Las contraseñas deben contar obligatoriamente con una longitud mínima (por ejemplo, 6 caracteres) además de poder requerirse que esté compuesta por datos alfanuméricos, numéricos y caracteres especiales. Con respecto a este punto, deberán considerarse herramientas para controlar que el no sea fácil de descifrar, como puede ser realizar comparaciones contra una lista de palabras reservadas, por ejemplo el nombre de la empresa, el nombre de cuenta del usuario, números o letras repetitivas, entre otras. Una buena forma de crear una buena contraseña es elegir una frase fácil de recordar y luego usar las primeras letras de sus palabras, por ejemplo: “En un lugar de la mancha de cuyo nombre….” puede formar el “euldlmdcn”. Por último, deberá controlarse que el usuario ingrese una clave nueva cada vez que la modifique, así como que las últimas 5 claves no se repitan. Esto puede hacerse utilizando una base de datos donde se acumulen las últimas cinco claves que ha empleado cada usuario.
  2. Es necesario que, cuando el usuario se logea por primera vez al sistema, éste lo obligue a modificar su contraseña, impidiéndole el acceso hasta que éste procedimiento no haya terminado con éxito. Esto se logra ingresando la fecha de expiración del password como vencida en el momento de realizar el alta de un nuevo usuario.
  3. Las contraseñas de acceso de los usuarios root deben ser únicas para cada máquina a la que están accediendo, además deberán ser cambiadas con más frecuencia que las contraseñas de los usuarios.
  4. El periodo de validez de una contraseña debería estar comprendido entre los 4 y los 6 meses.
  5. En caso de que un usuario se olvide su contraseña, el administrador deberá modificar la fecha de vigencia de la misma al próximo inicio de sesión de dicho usuario. De esta forma, se asegura que la aplicación no revela en ningún momento la contraseña del usuario al administrador.
     
    ¿Qué os parece?. ¿Consideraríais suficientes estas medidas?. ¿Qué políticas seguís en vuestros puestos de trabajo?.¿Creéis que me he dejado algo en el tintero?. Espero vuestros comentarios…¡feliz puente de Carnaval a tod@s!
 

One thought on ¿Olvidó su contraseña?

  1. WuWu

    Personalmente hace tiempo que he dejado que las claves se "auto-generen". Existen herramientas como pwgen (http://pwgen.sourceforge.net) (pwgen -s 14 FTW!) que te generan passwords mas/menos seguros y que son fáciles de usar (es solo un ejemplo, seguro que hay muchas más).

    Reply

Deja un comentario