Contraseña segura

Para el acceso a los sistemas de información, existen distintos mecanismos de autenticación. El mas conocido y tradicionalmente extendido es el que se basa en el uso de un par conformado por un identificador (ID) de la persona usuaria y una contraseña, aunque también podemos encontrar otros mecanismos como los basados en certificados digitales –software o hardware–, en características biométricas, en códigos de un solo uso, etc.

En la actualidad, la autenticación basada en un par, identificador y contraseña, continúa siendo el mecanismo de autenticación predominante en los sistemas corporativos de la Xunta de Galicia. Es por esto que la contraseña es un aspecto fundamental para la seguridad de los sistemas de información, ya que una contraseña mal elegida o mal protegida puede comprometer a toda la organización.

SEGURIDAD DE LAS CONTRASEÑAS

Son varios los aspectos relativos a las contraseñas que permiten mantener un nivel de seguridad apropiado:

Calidad de la contraseña.
Una parte importante de los accesos ilegítimos a los sistemas de información se deben a la utilización de contraseñas débiles que pueden ser fácilmente obtenidas por dedución o pruebas múltiples.
Caducidad de la contraseña.
Para mitigar ataques de phishing, malware o intentos de obtención de la contraseña reiteradosa lo largo del tiempo, resulta una buena práctica cambiar la contraseña periódicamente.
Ser cautelosos a la hora de elegir y utilizar las contraseñas:
- Utilizar contraseñas únicas para servicios importantes, evitando que comprometer una cuenta afecte a la seguridad del resto.
- No elegir contraseñas “comunes” incluídas en el diccionario o en ficheros de diccionarios de contraseñas.
- No incluír datos propios como parte de la contraseña.
- No almacenar contraseñas en medios poco seguros.

RESPONSABILIDADES DE LAS PERSONAS USUARIAS

Las personas usuarias tienen la responsabilidad de proteger sus contraseñas y mantener su confidencialidad: no se permite compartir las contraseñas o revelar a terceros aún en el caso de una ausencia prolongada.
Las contraseñas no se deben escribir en papel o ficheros electrónicos – ni directamente, ni con métodos de asociación que habían podido provocar deducirlos de una manera sencilla –. Se puede utilizar software especialmente diseñado – gestores de contraseñas –, que permiten almacenar nuestras contraseñas encriptadas.
No se deben usar mecanismos que completen o recuerden las contraseñas – excepto que dichos mecanismos precisen de una contraseña maestra para ser activados -.
No se deben incluír las contraseñas en procedimientos automáticos de conexión.
La contraseña elegida por la persona usuaria tiene que cumplir con las directrices estipuladas en la política de contraseñas.
Cuando la persona usuaria sospeche que la seguridad de su contraseña pueda encontrarse comprometida o sospeche que las sus credenciales puedan estar siendo utilizadas de manera ilegítima, deberá modificar su contraseña de manera inmediata e informar a su Centro de Atención a las Personas Usuarias correspondiente (Unidad de Atención a Centros - U.A.C.) para el registro de la incidencia.
Cuando una persona usuaria introduzca 5 veces consecutivas su contraseña de forma erroŕnea, el sistema de información había bloqueará las credenciales durante 15 minutos. Tras pasar el tiempo de bloqueo, el sistema debería permitir volver a intentar el acceso, en caso contrario la persona usuaria deberá reportar una incidencia con una descripción del problema a su Centro de Atención ás Personas Usuarias (Unidad de Atención a Centros - U.A.C.) correspondiente.
Cuando una persona usuaria olvide su contraseña, deberá reportar una incideencia con una descripción del problema a su Centro de Atención a las Personas Usuarias correspondiente (Unidad de Atención a Centros - U.A.C.).