Top 10 de Requisitos de Seguridad para Contraseñas
Es importante tomar en cuenta estos requisitos mínimos en la seguridad de la información y sistemas. Uno de los factores que mas afectan a la seguridad de los sistemas es el tipo contraseñas y cómo se manejan las mismas. Por lo que brindamos este top de requisitos importantes para que los ponga en práctica.
- Prohibición de contraseñas comunes: No se deben permitir contraseñas comunes o fácilmente adivinables, como "password", "123456", o "qwerty". Las políticas deben comparar las nuevas contraseñas con listas de contraseñas comúnmente utilizadas y prohibir su uso.
- Preguntas de seguridad robustas: Las preguntas de seguridad, si se utilizan, deben ser difíciles de adivinar y no deben basarse en información fácilmente disponible (como nombres de mascotas o fechas de cumpleaños).
- Complejidad: Las contraseñas deben incluir una combinación de letras mayúsculas, letras minúsculas, números y caracteres especiales (por ejemplo, !, @, #, $, etc.).
- Autenticación de dos factores (2FA): Además de la contraseña, se debe utilizar un segundo método de autenticación, como un código enviado al teléfono móvil o una aplicación de autenticación.
- No reutilización: No se deben reutilizar las contraseñas anteriores. Muchas políticas exigen que las últimas 5 a 10 contraseñas no se puedan volver a utilizar.
- Cambio periódico: Las contraseñas deben ser cambiadas regularmente, por ejemplo, cada 60 a 90 días
- Longitud mínima: Las contraseñas deben tener una longitud mínima de 8 a 12 caracteres, aunque algunas políticas de seguridad recomiendan al menos 16 caracteres.
- Bloqueo de cuenta después de intentos fallidos: Después de un número determinado de intentos fallidos de inicio de sesión (por ejemplo, 3 a 5 intentos), la cuenta debe ser bloqueada temporalmente o hasta que se verifique la identidad del usuario.
- No almacenar contraseñas en texto plano: Las contraseñas deben ser almacenadas utilizando algoritmos de hashing seguros (como bcrypt, scrypt, o Argon2) y, preferiblemente, con salting.
- Educación y concienciación del usuario: Los usuarios deben ser educados sobre la importancia de las contraseñas seguras y las prácticas recomendadas para la creación y el manejo de contraseñas.