Administrar el dilema de la contraseña

Seamos realistas, las contraseñas apestan. Son fáciles de robar, más fáciles de olvidar y crean trabajo para su personal. Lo peor es que no son realmente muy buena seguridad por todo tipo de razones. Pero por ahora, estamos atrapados con ellos.

Afortunadamente, hay cosas que puede hacer para reducir su riesgo y, lo que es más importante, aumentar su nivel de cumplimiento con los requisitos que van desde la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) hasta la Ley Sarbanes-Oxley (SOX). Pero también debe hacerlo de una manera que no aumente su carga administrativa más de lo necesario y que no cueste demasiado. Y, por supuesto, necesita trabajar en todos los lugares donde trabajan sus empleados.

Sin embargo, antes de apresurarse a buscar alternativas de contraseña, probablemente sea una buena idea reflexionar sobre sus políticas de contraseña, recordando que deben ser utilizadas por personas. Esto significa que requerir contraseñas que sean demasiado largas o complejas en realidad disminuirá su efectividad además de aumentar el costo para usted.

Su efectividad se reduce porque las personas las escriben para que no se olviden, o se olvidan y su departamento de TI tiene que realizar un reinicio, lo que le cuesta dinero. O bien, debe agregar la función "Olvidó su contraseña", que tiene su propio conjunto de riesgos y complejidades.

También debe pensar en sus requisitos para los cambios de contraseña de rutina. Varios estudios indican que probablemente no son necesarios y que tienen los mismos inconvenientes que las contraseñas demasiado complejas o largas, excepto que ocurren con más frecuencia.

Pero incluso con una política de contraseña racional, esta no es una muy buena manera de mantener su nivel de cumplimiento. Claramente necesitas algo más. Aquí es donde entra un segundo factor de autenticación.

Factores de segunda autenticación

Para las organizaciones grandes donde la mayoría de los empleados trabajan en la oficina, la solución más obvia es usar la tarjeta de identificación como segundo factor. En casi todos los casos, incluido el gobierno y muchas compañías de Fortune 500, esto significa adoptar la tarjeta inteligente como segundo factor. Este no es un enfoque nuevo y se usa ampliamente. La diferencia es que el costo de entrada ahora es mucho más bajo porque Windows 10 ahora incluye soporte para tarjetas inteligentes como tecnología de seguridad.

Pero las tarjetas inteligentes no son necesariamente la mejor solución para todas las empresas y no son una solución para una fuerza laboral mayormente móvil. Si bien puede comprar computadoras portátiles con un lector de tarjetas inteligentes integrado, no encontrará esto tan fácil de lograr con sus empleados que usan teléfonos inteligentes o tabletas como parte de su trabajo.

La solución obvia para los usuarios móviles podría ser adoptar una forma diferente de autenticación de dos factores (2FA), como enviar un código numérico mediante SMS. Todos los teléfonos que están disponibles actualmente admiten mensajes de texto, y aunque conllevan un breve retraso en el acceso mientras los usuarios esperan que llegue un mensaje de texto, en realidad funciona bien y es seguro ya que los teléfonos modernos generalmente requieren un inicio de sesión biométrico o su propio código de acceso antes van a trabajar.

Pero para estar aún más seguro, es posible usar una aplicación dedicada para obtener acceso a sus sistemas de datos. El desafío que existe es que deberá desarrollar una aplicación para cada tipo de teléfono inteligente que usen sus empleados. También podría usar una aplicación web, pero volverá al problema de la contraseña nuevamente, a menos que esté preparado para realizar un desarrollo web que permita la autenticación a través de los teléfonos inteligentes de sus empleados, lo que no es imposible pero tampoco trivial.

A estas alturas, es posible que se esté preguntando acerca de los lectores de impresión de mano completa que ve en algunos centros de datos o tal vez esté pensando en lectores de huellas digitales o escáneres de retina. Todos pueden funcionar bien y son una solución obvia para una instalación de alto valor, como su centro de datos. Pero requieren una inversión significativa en infraestructura y requieren personas para administrarlas. Estamos tratando de pensar en formas de mejorar el cumplimiento sin agregar personas o gastar demasiado dinero.

Otras formas de mejorar el cumplimiento

Lo que esto significa es que deberá adoptar más de un enfoque. Para sus empleados de oficina, puede implementar tarjetas inteligentes como factor para autenticar a sus empleados. Esto tiene ventajas para la seguridad física, además de ayudarlo a cumplir, y el costo de entrada está al alcance de organizaciones aún más pequeñas.

Como referencia, los lectores de tarjetas inteligentes que funcionan con Windows están disponibles en cantidades de uno por aproximadamente $ 10. Los teclados con lectores de tarjetas inteligentes integrados cuestan tan poco como $ 25 en cantidades de uno.

Para sus usuarios móviles, es posible que desee pensar en usar mensajes SMS para 2FA. Esto es algo que ciertamente ya ha visto, ya sea que esté trabajando con Apple o Microsoft o en varios otros sitios. Varias compañías se encargarán del proceso por usted. Un ejemplo es Twilio pero hay otros.

Lo importante es que puede hacer algo con respecto al dilema de su contraseña sin tener un impacto indebido en su personal o su presupuesto. Su camino hacia el cumplimiento será más fácil porque ha brindado una mayor seguridad de acceso, e incluso podría facilitar la carga de su personal adoptando políticas que funcionen, al tiempo que agrega un nivel de seguridad. Para usted y su equipo de TI, es una victoria para todos.