¡Maldita Contraseña!

Cómo mejorar la productividad y la experiencia del usuario con un mejor nivel de seguridad.

Cada vez que bloqueamos una cuenta, esto se traduce en costos para la empresa, y no tan solo hay que considerar lo que cuesta una llamada a la mesa de ayuda, sino también la productividad perdida por todas las partes involucradas. Adicionalmente se comprometen los SLA y se instala un sentimiento de frustración tanto para uno mismo como para nuestros clientes internos y externos.

En un esfuerzo para evitar que nos hackeen la contraseña, se nos imponen políticas “robustas” donde se exige una cantidad de caracteres, combinación de dígitos, mayúsculas, caracteres especiales, reglas de diccionario, etc. Más encima, no podemos repetir las últimas 10 o “x” cantidad contraseñas. Somos humanos y lo más probable es que haya una relación proporcionalmente directa entre la robustez de la política y la cantidad de llamadas a la mesa de ayuda por desbloqueo de cuentas y reseteo de contraseñas. Obvio.

No creo que haya hecho ningún hallazgo acá, solo estoy describiendo una situación que vivimos a diario, la cual es aún más complicada cuando la cantidad de contraseñas que maneja la empresa promedio es de seis o más. Tampoco estaría describiendo este problema si no tuviera una solución a proponer, reclamar es súper fácil…

¿Qué hacemos?

La primera sugerencia, respaldada por la ISO27001 (Objetivo de control A.9.4.3), es implementar un gestor de contraseñas interactivo y que asegure contraseñas “de calidad”. En One Identity contamos con tres soluciones de gestión de contraseñas:

Password Manager es un portal web que empodera al usuario final a resetear su contraseña de Active Directory (y sistemas conectados como O365 y bases de datos, entre otros) y desbloquear su cuenta sin necesidad de llamar (léase “esperar”) a la mesa de ayuda. La herramienta permite además gestionar las contraseñas de usuarios de múltiples dominios, soportando hasta 16 políticas diferentes por cada uno y así permite aplicar políticas más robustas solamente a usuarios cuyos accesos lo ameriten. Con la ingeniería social de hoy día los perfiles de preguntas y respuestas están cada día más obsoletos por lo que recomendamos complementar, o reemplazar completamente este método de validación con una solución de token u OTP/TOTP.

La integración con la pantalla de login de Windows (aka GINA) ayuda incluso a solucionar el problema de la contraseña inicial. El usuario simplemente accede al link, se abre el navegador sin iniciar sesión en el PC, y luego validarse via SMS o token, se enrola, configura su propia contraseña y procede a iniciar sesión por primera vez sin intervención de TI y sin necesidad de hacerle llegar al usuario esa primera contraseña por ningún medio (inseguro).

TPAM es nuestro gestor de contraseñas - y sesiones – privilegiadas. Preinstalado en un dispositivo seguro, esta solución permite automatizar la solicitud, aprobación y entrega de las contraseñas más críticas de la empresa como la contraseña de administración del firewall, de la base de datos, del AS400, etc. El módulo de grabación de sesiones permite ir más allá y contar con la evidencia de lo que efectivamente se realizó durante un acceso de privilegios elevados. Esta herramienta ayuda a cumplir con otros requerimientos de normativas como el Objetivo de control A.9.2.3 de la ISO27001 “Gestión de derechos de accesos privilegiados”, y los requerimientos 2, 7, 8, 10 y 12 de PCI DSS.

Enterprise Single Sign-on elimina la necesidad de recordar y gestionar manualmente las diferentes contraseñas que el usuario necesita para acceder a las aplicaciones empresariales. Estas aplicaciones pueden ser web, cliente-servidor, pantalla verde, etc. El agente puede generar contraseñas únicas y complejas para cada aplicación evitando tener la misma contraseña, o una derivada, en los diferentes sistemas.

La segunda sugerencia es mejorar la seguridad implementando autenticación de dos factores (2FA), a mi juicio una forma mucho más eficiente que imponer una política de contraseñas que son imposibles recordar, pero no tan imposibles de romper…además, ¿saben cuántas fugas de información se hubiesen evitado al contar con algo así?

Los gestores de contraseñas que les estoy mencionando son modulares y soportan autenticación de dos factores como Defender, una solución basada en estándares (RADIUS, OATH) que inclusive en algunos casos puede reemplazar completamente esa maldita contraseña (!)

Es un arte el mejorar la seguridad sin mermar la productividad. Con la adopción de estas herramientas lograrán disminuir las llamadas a la mesa de ayuda, aumentar la productividad, mejorar la seguridad y al mismo tiempo la experiencia del usuario final, ¿qué tal? De hecho los usuarios empezarán a quererlos más y a dejar de mirarlos como los gruñones de seguridad que a todo dicen que no. 

Anonymous