9 oct 2013

Guía de mejores prácticas para proteger sus contraseñas (I)

FreeDigitalPhotos.net
De acuerdo a datos del Ponemon Institute, el 55% de las pequeñas empresas en los EE.UU. sufren de alguna forma de violación de datos y el 53% tiene múltiples accesos no autorizados. Más del 50% es un número aterrador, y las violaciones de datos pueden impactar negativamente a todas las organizaciones, sin importar su tamaño. Bastasolo con  pensar en los recientes ejemplos de algunas empresas de alto perfil que han sido noticia de primera plana, incluyendo Skype, LivingSocial y Associated Press. Aunque estos hacks son muy diferentes, las siguientes mejores prácticas comunes podrían haber disminuido el efecto:

Asegúrese de no utilizar la misma contraseña dos veces
Los usuarios deben tener una contraseña aleatoria y distinta para cada sitio que utilizan. El problema con una contraseña robada es que con frecuencia el usuario ha aprovechado la misma contraseña en varias cuentas. Los hacks más insidiosos y dañinos son los que pasan desapercibidos por un largo período de tiempo. A menos que el sitio ofrezca autenticación de dos factores, los usuarios deben asumir siempre que cualquiera de sus cuentas podrían verse comprometidas con una contraseña. Dado que los usuarios suelen ser resistentes a la creación y mantenimiento de múltiples contraseñas, se recomienda que se almacenan las contraseñas en servicios como LastPass.

Protege tus contraseñas
Para el almacenamiento de contraseñas, vale la pena usar el proceso hash and salt que aumenta la seguridad del archivo donde estén almacenadas. Haga doble salt and hash de contraseñas hace casi imposible que se puedan descifrar. Si un sitio usa hash and salt, el hacker tiene que crear un diccionario de listas de hash por separado para cada usuario. Esto requiere mucho tiempo y hace el proceso más complejo si el sitio tiene millones de cuentas. Salazón y hash protege todas sus contraseñas de conseguir rotas con facilidad, pero las cuentas individuales son todavía susceptibles.

Añade un número telefónico para verificaciones adicionales
La comunicación por correo electrónico viene con su propio conjunto de desafíos, ya que también puede verse comprometida. Además, muchos usuarios aprovechan la misma credencial en todas sus cuentas. Es por eso que es imprescindible solicitar y verificar el número de teléfono de los usuarios cuando se registran en algún servicio. Usar un número de teléfono verificable para una cuenta permite otros beneficios posteriores como agilizar el restablecimiento de contraseñas y la comunicación segura a su base de usuarios, si alguna vez hay una fuga de datos en todo el sistema.