Tu perito en informática te aconseja: gestión de passwords
Un password débil o mal gestionado constituye una puerta de entrada fácil para hackers, fishers o simples “listillos” que se pueden aprovechar de ello para espiar nuestras actividades o causarnos daños.
Te presentamos algunos consejos para evitar esta problemática:
Jamás compartas tu password
Es evidente que no se debe compartir con nadie. Así proteges tus datos y si todo el mundo en una organización hace lo mismo en caso de uso fraudulento estarás más libre de sospechas.
Utiliza claves diferentes para cada web
Puede ser que una web poco confiable tenga una gestión deficiente de seguridad y tus claves de acceso vayan a parar a las listas de passwords:
- Claves diferentes para cada web. Al menos diferentes para cada grupo (eMail, suscripciones a webs de información, accesos a trabajos y máquinas remotas, etc).
- Las claves “críticas”, como las que dan acceso a entidades bancarias o de pago como paypal deben ser únicas y difíciles de adivinar.
- Especial precaución con las páginas que puedan ser fraudulentas (contenidos para adultos, piratas, etc) que pueden hacer un mal uso de nuestras claves o incluso divulgarlas. Nunca utilizar passwords críticos si decidimos afiliarnos a alguna de ellas.
Utiliza palabras clave difíciles de adivinar
Los hackers suelen utilizar diccionarios (basados en las idiomas más usados, nombres, listas de passwords hackeados, etc) y combinaciones con números triviales (como secuencias ascendentes/descendentes) para generar intentos y adivinar passwords por “fuerza bruta”. También existen listas de “passwords más usados”. En esta página (en inglés) podéis ver (en inglés) un “top 25 de los passwords malos” compilado por un proveedor de servicios anti-virus.
Por lo tanto, conviene evitar:
- Secuencias de números ascendentes o descendentes.
- Fechas de nacimiento y/o datos fácilmente relacionables con el usuario.
- Secuencias de teclas correlativas en el teclado.
- Nombres de personas.
- Passwords fáciles de adivinar o que guarden relación con el usuario, la URL/email/sistema a los que se accede o cualquier otra pista que se revele.
Por contra, un password debe:
- Mezclar mayúsculas letras y números.
- Mezclar mayúsculas y minúsculas.
- Introducir caracteres especiales como(/* entre las letras.
- Mínimo de 10 caracteres.
Cambia tu password con frecuencia
- Sistemáticamente al menos una vez al año.
- Siempre que alguien abandone una organización, cambia los passwords de acceso comunes (aunque de estos debería haber los mínimos).
- Siempre que la seguridad se haya visto comprometida.
- No uses “derivados” para cambiar tu password (como passwor1, password2, etc)
No lo anotes en papel
Para ello existen programas especializados, que pueden funcionar en dispositivos simples como teléfonos móviles, hasta soluciones generales de manejo de passwords e identidades para grandes empresas. Estas utilidades ayudan a generar claves seguras, gestionan adecuadamente identidades y firmas electrónicas, etc.
Sin llegar a tanto, se deberían memorizar al menos los passwords que tuvieran que ver con datos económicos o críticos.
Usa el “recordar password” con criterio
Al menos para las webs críticas (banco, etc) utiliza la opción “jamás para este sitio”. Si alguien ganara acceso a tu sistema, al menos que no pueda visualizar tu cuenta bancaria. Si decides usar el “recordar password” para alguna web no te tendría que importar que alguien con acceso a tu ordenador te suplante (suscripciones triviales, perfiles que no dan información crítica, etc).
