• Tweet

La explosión de contraseñas en las empresas ha creado un mar de huecos en la infraestructura de seguridad. Algunos CIOs han respondido al reto de proporcionar los botes salvavidas, en sentido figurado, pero en muchos de los casos los riesgos de seguridad relacionados con las contraseñas permanecen en gran parte sin verificar y hasta ignorados.

Fuera de la negación, inercia o sobrecarga de trabajo, muchos administradores de TI simplemente miran a otro lado cuando se trata de reforzar la seguridad de las contraseñas. El resultado, en efecto, es la negligencia de contraseñas. Miles de puntos de posibles infiltraciones de red son dejados abiertos a determinados hackers y a empleados a disgusto. Una contraseña crackeada o robada puede deshacer todas las medidas de seguridad combinada.

La magnitud del problema se tambalea. La mayoría de usuarios ahora tiene más de seis contraseñas, un tercio tiene más de 15, y los administradores de TI pueden tener hasta 100, según estimaciones de la industria. La culpa se debe principalmente a la proliferación de aplicaciones y servicios basados en Web, cada uno requiriendo su propio ID de usuario.

¿El resultado- una carga de administración extra para el staff de TI, un influjo de llamadas relacionadas con contraseñas olvidadas al departamento de soporte, casi 22 millones de dólares invertidos en el restablecimiento de contraseñas al año, y – de forma irónica, dado que las contraseñas son herramientas de seguridad por sí mismas- una variedad de complicación de seguridad.

Primero, existe el problema de la compartición de contraseñas. Los CEOs rutinariamente confían sus contraseñas a sus ayudantes administrativos, otorgándoles las llaves al reino. Los comerciantes de acciones dan sus contraseñas a los subordinados quienes manejan su trabajo administrativo para asegurar la obtención del crédito de transacciones. Las enfermeras negocian contraseñas para que puedan tener acceso sobre la información médica de los pacientes en una manera oportuna. Acciones como éstas incrementan la exposición potencial de la red.

También, existen las amenazas de seguridad generadas por estrategias de rastreo de contraseñas que los usuarios emplean para compensar las limitaciones de la memoria humana.

A pesar de las políticas de seguridad corporativas, muchos empleados asignan contraseñas idénticas a múltiples cuentas simplemente para eliminar la necesidad de recordar códigos diferentes. Aquellos que obedecen órdenes de usar contraseñas diferentes para cada cuenta típicamente las escriben en Post-its o en PDAS para recordarlas.

A pesar del hecho de que este tipo de transgresiones son bien conocidas por cualquier administrador de red como los ataques de virus más recientes o fallas de Microsoft, muchas empresas claman no estar preocupadas sobre los problemas de seguridad relacionados con las contraseñas.

Aquellos que realmente reconocen el peligro y deciden tomar medidas, con frecuencia comente otro error: adoptan un plan ambicioso de abolir las contraseñas completamente y la sustituyen por una arquitectura que afronta enormes barreras en la implementación.