][Seg][ ¿Está más seguro su ordenador si cambia la contraseña a menudo?

14/12/2004 - 22:01 por cd | Informe spam
(hace falta un cambio de mentalidad del riesgo, hasta que la seguridad
biometrica se vaya imponiendo y sea mas accesible en general...)




CONTRASEÑAS
¿Está más seguro su ordenador si cambia la contraseña a menudo?
http://www.laflecha.net/canales/seg...200412132/


Todas las mañanas antes de comenzar a trabajar, Kate Prior tiene que
emplear ocho contraseñas para usar su computadora. Cada una debe
contener al menos ocho caracteres y la mayoría requiere una
combinación de letras y números. Debe cambiarlas cada tres meses.
16:01 - 13/12/2004 | Fuente: THE WALL STREET JOURNAL

¿Cómo se las arregla Prior para recordar sus contraseñas mientras
cumple sus funciones de supervisora de pruebas farmacológicas? Pues
muy fácil: las tiene escritas en un papel azul pegado a su
computadora.



Prior sabe que esto puede poner en peligro la misma seguridad que se
supone las contraseñas fomentan. "La gente de informática me grita",
dice. Pero ella prefiere una reprimenda ocasional a la alternativa de
olvidar una contraseña, fallar tres veces al tratar de adivinarla y
tener que pedir ayuda.

Los expertos en seguridad recomiendan desde hace mucho tiempo que los
usuarios de computadoras usen contraseñas difíciles de descifrar y que
las cambien con frecuencia para frustrar a los piratas informáticos.

Ahora los auditores y asesores instan a las compañías a que obliguen a
sus empleados a escoger contraseñas más complicadas y las cambien más
a menudo para mostrar que han adoptado controles internos.

Pero el afán de lograr sistemas de computadoras impenetrables choca
con las limitaciones de los sistemas humanos. Para hacer frente a los
cambios constantes de contraseñas, muchos usuarios adoptan estrategias
que perjudican la seguridad.

Unas tres cuartas partes de los usuarios de computadoras memorizan sus
contraseñas, según un estudio realizado por Symantec Corp.

Pero memorizar varias contraseñas completamente nuevas es algo
abrumador, así que algunos empleados sólo hacen cambios triviales a
sus viejas claves, como añadirle el número "1", por ejemplo. Esa
táctica, dicen los expertos, no hace que una contraseña nueva sea más
difícil de descifrar que la anterior.

Como consecuencia, algunos expertos advierten que los cambios
frecuentes de contraseñas van conducir a otras amenazas para la
seguridad, potencialmente mayores.

"No es sensato obligar a la gente a crear una contraseña singular cada
seis meses. Es una invitación al desastre", dice Allen Gwinn, director
de tecnología en la Cox School of Business, de Southern Methodist
University, que ha dado charlas sobre temas de seguridad. "Es mejor
tener una contraseña de hace dos años que alguien pueda recordar que
una contraseña que se acaba de cambiar, que se ha escrito y que
alguien puede encontrar", dice Gwinn.

Gwinn guarda sus contraseñas en una agenda electrónica con teléfono
celular, protegida por un programa de codificación que él mismo creó.
Pero incluso algunas empresas de seguridad informática no exigen a sus
empleados que cambien periódicamente sus contraseñas.

En Fortinet Inc., una firma de California que fabrica aparatos que
bloquean virus y correo basura de las redes corporativas, los
empleados deben usar contraseñas difíciles de descifrar.

El grupo de seguridad interna las somete a pruebas e insta a los
trabajadores cuyas contraseñas no las pasan a cambiarlas. Pero "no
hacemos los cambios exigidos", dice Philip Kwan, director de manejo de
producto.

Antes de trabajar en Fortinet, Kwan pasó 15 años trabajando en tres
empresas de Silicon Valley. Allí vio cómo la naturaleza humana acababa
por derrotar a los sistemas de seguridad mejor intencionados.

Cuando le tocaba usar la computadora de alguien que estaba ausente,
Kwan tomaba el teclado y era bastante probable que la contraseña
estuviera escrita debajo.

"Encontramos muchas contraseñas extrañas por todas partes", dice.

Grandes firmas de auditoría como Deloitte & Touche USA recomiendan que
las compañías obliguen a los empleados a cambiar contraseñas al menos
cada tres meses, y más a menudo si el proceso puede automatizarse.

Algunos expertos en seguridad creen que las recomendaciones no son lo
suficientemente severas. "Todas las contraseñas pueden descifrarse en
45 ó 60 días", señala Carl Herberger, director de servicios de
seguridad de la información para SunGard Availability Services.

Herberger recomienda que las compañías obliguen a los empleados a
cambiar las contraseñas una vez al mes.

La idea enloquece a algunos usuarios de computadoras.

"¿Quién tiene memoria para recordarlas todas?" se pregunta Alex
Ramsey, presidente ejecutivo de LodeStar Universal, firma de asesoría
de gestión con diez empleados. Ramsey guarda las alrededor de 75
contraseñas en un archivo de computadora, llamado "Contraseña". Como
copia de respaldo, lo imprimió y lo esconde debajo de su teclado.

Candace Jenny, ingeniera de Silicon Valley, adoptó una táctica
parecida. Hace poco dejó un trabajo en el que necesitaba 10
contraseñas; varias de ellas requerían caracteres que no fueran ni
numéricos ni letras, como #, ^ o *, y que se cambiaran una vez al mes.

"Acabé por hacer una lista, que es precisamente lo que no quieren que
uno haga", dice Jenny, que ahora trabaja en otra empresa. Guardó la
lista en su computadora y en un cuaderno que tiene en un archivador
que no cierra con llave. Pero Jenny comprende el riesgo. Una vez se
escribe una contraseña, dice, "es más probable que uno no tenga
cuidado con ella".
 

Leer las respuestas

#1 Marcelo
06/01/2005 - 02:52 | Informe spam
Hay pasos intermedios (como los dispositivos criptográficos organizadores
digitales (tokens)) que pueden implementarse hasta que los biométricos estén
más a la "mano".

Marcelo.


"cd" escribió en el mensaje
news:41bf55d9$0$74689$
(hace falta un cambio de mentalidad del riesgo, hasta que la seguridad
biometrica se vaya imponiendo y sea mas accesible en general...)




CONTRASEÑAS
¿Está más seguro su ordenador si cambia la contraseña a menudo?
http://www.laflecha.net/canales/seg...200412132/


Todas las mañanas antes de comenzar a trabajar, Kate Prior tiene que
emplear ocho contraseñas para usar su computadora. Cada una debe
contener al menos ocho caracteres y la mayoría requiere una
combinación de letras y números. Debe cambiarlas cada tres meses.
16:01 - 13/12/2004 | Fuente: THE WALL STREET JOURNAL

¿Cómo se las arregla Prior para recordar sus contraseñas mientras
cumple sus funciones de supervisora de pruebas farmacológicas? Pues
muy fácil: las tiene escritas en un papel azul pegado a su
computadora.



Prior sabe que esto puede poner en peligro la misma seguridad que se
supone las contraseñas fomentan. "La gente de informática me grita",
dice. Pero ella prefiere una reprimenda ocasional a la alternativa de
olvidar una contraseña, fallar tres veces al tratar de adivinarla y
tener que pedir ayuda.

Los expertos en seguridad recomiendan desde hace mucho tiempo que los
usuarios de computadoras usen contraseñas difíciles de descifrar y que
las cambien con frecuencia para frustrar a los piratas informáticos.

Ahora los auditores y asesores instan a las compañías a que obliguen a
sus empleados a escoger contraseñas más complicadas y las cambien más
a menudo para mostrar que han adoptado controles internos.

Pero el afán de lograr sistemas de computadoras impenetrables choca
con las limitaciones de los sistemas humanos. Para hacer frente a los
cambios constantes de contraseñas, muchos usuarios adoptan estrategias
que perjudican la seguridad.

Unas tres cuartas partes de los usuarios de computadoras memorizan sus
contraseñas, según un estudio realizado por Symantec Corp.

Pero memorizar varias contraseñas completamente nuevas es algo
abrumador, así que algunos empleados sólo hacen cambios triviales a
sus viejas claves, como añadirle el número "1", por ejemplo. Esa
táctica, dicen los expertos, no hace que una contraseña nueva sea más
difícil de descifrar que la anterior.

Como consecuencia, algunos expertos advierten que los cambios
frecuentes de contraseñas van conducir a otras amenazas para la
seguridad, potencialmente mayores.

"No es sensato obligar a la gente a crear una contraseña singular cada
seis meses. Es una invitación al desastre", dice Allen Gwinn, director
de tecnología en la Cox School of Business, de Southern Methodist
University, que ha dado charlas sobre temas de seguridad. "Es mejor
tener una contraseña de hace dos años que alguien pueda recordar que
una contraseña que se acaba de cambiar, que se ha escrito y que
alguien puede encontrar", dice Gwinn.

Gwinn guarda sus contraseñas en una agenda electrónica con teléfono
celular, protegida por un programa de codificación que él mismo creó.
Pero incluso algunas empresas de seguridad informática no exigen a sus
empleados que cambien periódicamente sus contraseñas.

En Fortinet Inc., una firma de California que fabrica aparatos que
bloquean virus y correo basura de las redes corporativas, los
empleados deben usar contraseñas difíciles de descifrar.

El grupo de seguridad interna las somete a pruebas e insta a los
trabajadores cuyas contraseñas no las pasan a cambiarlas. Pero "no
hacemos los cambios exigidos", dice Philip Kwan, director de manejo de
producto.

Antes de trabajar en Fortinet, Kwan pasó 15 años trabajando en tres
empresas de Silicon Valley. Allí vio cómo la naturaleza humana acababa
por derrotar a los sistemas de seguridad mejor intencionados.

Cuando le tocaba usar la computadora de alguien que estaba ausente,
Kwan tomaba el teclado y era bastante probable que la contraseña
estuviera escrita debajo.

"Encontramos muchas contraseñas extrañas por todas partes", dice.

Grandes firmas de auditoría como Deloitte & Touche USA recomiendan que
las compañías obliguen a los empleados a cambiar contraseñas al menos
cada tres meses, y más a menudo si el proceso puede automatizarse.

Algunos expertos en seguridad creen que las recomendaciones no son lo
suficientemente severas. "Todas las contraseñas pueden descifrarse en
45 ó 60 días", señala Carl Herberger, director de servicios de
seguridad de la información para SunGard Availability Services.

Herberger recomienda que las compañías obliguen a los empleados a
cambiar las contraseñas una vez al mes.

La idea enloquece a algunos usuarios de computadoras.

"¿Quién tiene memoria para recordarlas todas?" se pregunta Alex
Ramsey, presidente ejecutivo de LodeStar Universal, firma de asesoría
de gestión con diez empleados. Ramsey guarda las alrededor de 75
contraseñas en un archivo de computadora, llamado "Contraseña". Como
copia de respaldo, lo imprimió y lo esconde debajo de su teclado.

Candace Jenny, ingeniera de Silicon Valley, adoptó una táctica
parecida. Hace poco dejó un trabajo en el que necesitaba 10
contraseñas; varias de ellas requerían caracteres que no fueran ni
numéricos ni letras, como #, ^ o *, y que se cambiaran una vez al mes.

"Acabé por hacer una lista, que es precisamente lo que no quieren que
uno haga", dice Jenny, que ahora trabaja en otra empresa. Guardó la
lista en su computadora y en un cuaderno que tiene en un archivador
que no cierra con llave. Pero Jenny comprende el riesgo. Una vez se
escribe una contraseña, dice, "es más probable que uno no tenga
cuidado con ella".

Preguntas similares