Para o acceso aos sistemas de información, existen distintos mecanismos de autenticación. O mais coñecido e tradicionalmente estendido é o que se basea no uso dun par conformado por un identificador (ID) da persoa usuaria e un contrasinal, aínda que tamén podemos atopar outros mecanismos como os baseados en certificados dixitais –software ou hardware–, en características biométricas, en códigos dun só uso, etc.

Na actualidade, a autenticación baseada nun par, identificador e contrasinal, continúa sendo o mecanismo de autenticación predominante nos sistemas corporativos da Xunta de Galicia. É por isto que o contrasinal é un aspecto fundamental para a seguridade dos sistemas de información, xa que un contrasinal mal elixido ou mal protexido pode comprometer a toda a organización.

SEGURIDADE DOS CONTRASINAIS

Son varios os aspectos relativos ós contrasinais que permiten manter un nivel de seguridade axeitado:

• Calidade do contrasinal.
  Unha parte importante dos accesos ilexítimos aos sistemas de información débense á utilización de contrasinais débiles que poden ser facilmente obtidas por dedución ou probas múltiples.

• Caducidade do contrasinal.
  Para mitigar ataques de phishing, malware ou intentos de obtención do contrasinal reiterados o longo do tempo, resulta unha boa práctica cambiar o contrasinal periodicamente.

• Ser cautelosos á hora de elixir e utilizar os contrasinais:

  • Utilizar contrasinais únicos para servizos importantes, evitando que o compromiso dunha conta afecte á seguridade do resto.

  • Non elixir contrasinais “comúns” incluídos no dicionario ou en ficheiros de dicionarios de contrasinais.

  • Non incluír datos propios como parte do contrasinal.

  • Non almacenar contrasinais en medios pouco seguros.

RESPONSABILIDADES DAS PERSOAS USUARIAS

• As persoas usuarias teñen a responsabilidade de protexer os seus contrasinais e manter a súa confidencialidade: non se permite compartir os contrasinais ou revelar a terceiros mesmo no caso dunha ausencia prolongada.

• Os contrasinais non se deben escribir en papel ou ficheiros electrónicos – nin directamente, nin con métodos de asociación que puideran provocar deducilos dun xeito sinxelo –. Pódese utilizar software especialmente deseñado – xestores de contrasinais –, que permiten almacenar os nosos contrasinais encriptados.

• Non se deben usar mecanismos que completen ou recorden os contrasinais – excepto que ditos mecanismos precisen dun contrasinal mestre para seren activados -.

• Non se deben incluír os contrasinais en procedementos automáticos de conexión.

• O contrasinal elixido pola persoa usuaria ten que cumprir coas directrices estipuladas na política de contrasinais.

• Cando a persoa usuaria sospeite que a seguridade do seu contrasinal poida atoparse comprometida ou sospeite que as súas credencias poidan estar a ser utilizadas de xeito ilexítimo, deberá modificar o seu contrasinal de xeito inmediato e informar do mesmo ao Responsable de Seguridade e ao seu Centro de Atención ás Persoas Usuarias correspondente (Unidade de Atención a Centros - U.A.C.) para o rexistro da incidencia.

• Cando unha persoa usuaria introduza 5 veces consecutivas o seu contrasinal de forma errónea, o sistema de información bloqueará as credenciais durante 15 minutos. Tras pasar o tempo de bloqueo, o sistema debería permitir volver a intentar o acceso, en caso contrario a persoa usuaria deberá reportar unha incidencia cunha descrición do problema ao seu Centro de Atención ás Persoas Usuarias (CAU) correspondente.

• Cando unha persoa usuaria esqueza o seu contrasinal, deberá reportar unha incidencia cunha descrición do problema ao seu Centro de Atención ás Persoas Usuarias correspondente (Unidade de Atención a Centros - U.A.C.).

Imaxe