El día para cambiar su contraseña necesita una contraparte

El 1 de febrero es el día del cambio de contraseña; aunque no es oficial, muchos sitios de tecnología anuncian el día a sus lectores. Se solicita a los usuarios que cambien las contraseñas ese día para mejorar la seguridad.

Aunque ciertamente hay momentos en los que cambiar las contraseñas tiene sentido, p. Ej. después de una infracción de un servicio en línea, un ataque de virus exitoso, un intercambio accidental o para aumentar la seguridad de una contraseña, generalmente decir que se deben cambiar todas las contraseñas ese día nunca tenía mucho sentido.



En su lugar, prefiero que se cambie el nombre del día a 'comprobar el día de sus contraseñas'. Los usuarios pueden probar sus contraseñas con la base de datos Have I Been Pwned (localmente) y cambie las contraseñas que se filtraron a Internet.

Los usuarios también pueden verificar la fuerza de las contraseñas y cambiar las que se consideran débiles por los algoritmos de verificación de fuerza, o comenzar a usar un administrador de contraseñas si está permitido en el entorno.

También vale la pena considerar la autenticación de dos factores y otras opciones de seguridad avanzadas, si están disponibles.

Compruebe el día de seguridad de su servidor

pwned passwords

Propongo una contraparte para cambiar tu contraseña el día: revisa el día de seguridad de tu servidor (vagamente basado en El artículo de Jürgen Schmidt sobre Heise), mío Sobre el artículo de seguridad de contraseñas de 2012y seguridad de contraseña: lo que los usuarios saben y lo que hacen. Si bien es cierto que los ataques de fuerza bruta o los ataques dirigidos pueden robar las credenciales del usuario, una de las mayores amenazas proviene de los servidores de la empresa que son pirateados.



Si el hack tiene éxito debido a la ingeniería social, servidores configurados incorrectamente, vulnerabilidades de seguridad sin parches, bibliotecas o componentes desactualizados o vulnerabilidades de día cero, es irrelevante desde la perspectiva del usuario.

Miles de millones de conjuntos de contraseñas están disponibles gratuitamente en Internet. Estos conjuntos, ¿Me han engañado? enumera 6.400 millones de cuentas pwned solo de 340 sitios, son solo la punta del iceberg. Provienen de infracciones exitosas y se publican de inmediato en la red, se ofrecen a la venta o se utilizan sin que se hayan filtrado públicamente.

La reputación de una empresa se ve afectada si se ataca con éxito, pero parece que la mayoría vuelve a la normalidad con bastante rapidez después de las infracciones.

Las empresas deben utilizar el 'día de verificación de la seguridad de su servidor' para mejorar la seguridad. Probablemente no sea suficiente hacer esto una vez al año, pero el día podría usarse para realizar pruebas exhaustivas y mejorar la seguridad, p. Ej. implementando nuevas formas de seguridad o mejorando las existentes.

Incluso si usted, como usuario de un servicio, selecciona la contraseña más segura imaginable, es posible que aún caiga en manos de delincuentes que descargan bases de datos de contraseñas.

Todo lo que intento decir es que las empresas deben asumir la responsabilidad. No es suficiente restablecer las contraseñas de la cuenta después de una infracción y terminar con toda la situación; Las empresas necesitan mejorar la seguridad de forma proactiva y comprobar la seguridad del servidor con regularidad para bloquear por completo determinados vectores de ataque.

Ahora tu: ¿Deberían las empresas proteger mejor sus servidores?