Espazos
Para el acceso a los sistemas de información, existen distintos mecanismos de autenticación. El mas conocido y tradicionalmente extendido es el que se basa en el uso de un par conformado por un identificador (ID) de la persona usuaria y una contraseña, aunque también podemos encontrar otros mecanismos como los basados en certificados digitales –software o hardware–, en características biométricas, en códigos de un solo uso, etc.
En la actualidad, la autenticación basada en un par, identificador y contraseña, continúa siendo el mecanismo de autenticación predominante en los sistemas corporativos de la Xunta de Galicia. Es por esto que la contraseña es un aspecto fundamental para la seguridad de los sistemas de información, ya que una contraseña mal elegida o mal protegida puede comprometer a toda la organización.
SEGURIDAD DE LAS CONTRASEÑAS
Son varios los aspectos relativos a las contraseñas que permiten mantener un nivel de seguridad apropiado:
-
Calidad de la contraseña.
Una parte importante de los accesos ilegítimos a los sistemas de información se deben a la utilización de contraseñas débiles que pueden ser fácilmente obtenidas por dedución o pruebas múltiples. -
Caducidad de la contraseña.
Para mitigar ataques de phishing, malware o intentos de obtención de la contraseña reiteradosa lo largo del tiempo, resulta una buena práctica cambiar la contraseña periódicamente. -
Ser cautelosos a la hora de elegir y utilizar las contraseñas:
-
Utilizar contraseñas únicas para servicios importantes, evitando que comprometer una cuenta afecte a la seguridad del resto.
-
No elegir contraseñas “comunes” incluídas en el diccionario o en ficheros de diccionarios de contraseñas.
-
No incluír datos propios como parte de la contraseña.
-
No almacenar contraseñas en medios poco seguros.
-
RESPONSABILIDADES DE LAS PERSONAS USUARIAS
-
Las personas usuarias tienen la responsabilidad de proteger sus contraseñas y mantener su confidencialidad: no se permite compartir las contraseñas o revelar a terceros aún en el caso de una ausencia prolongada.
-
Las contraseñas no se deben escribir en papel o ficheros electrónicos – ni directamente, ni con métodos de asociación que habían podido provocar deducirlos de una manera sencilla –. Se puede utilizar software especialmente diseñado – gestores de contraseñas –, que permiten almacenar nuestras contraseñas encriptadas.
-
No se deben usar mecanismos que completen o recuerden las contraseñas – excepto que dichos mecanismos precisen de una contraseña maestra para ser activados -.
-
No se deben incluír las contraseñas en procedimientos automáticos de conexión.
-
La contraseña elegida por la persona usuaria tiene que cumplir con las directrices estipuladas en la política de contraseñas.
-
Cuando la persona usuaria sospeche que la seguridad de su contraseña pueda encontrarse comprometida o sospeche que las sus credenciales puedan estar siendo utilizadas de manera ilegítima, deberá modificar su contraseña de manera inmediata e informar a su Centro de Atención a las Personas Usuarias correspondiente (Unidad de Atención a Centros - U.A.C.) para el registro de la incidencia.
-
Cuando una persona usuaria introduzca 5 veces consecutivas su contraseña de forma erroŕnea, el sistema de información había bloqueará las credenciales durante 15 minutos. Tras pasar el tiempo de bloqueo, el sistema debería permitir volver a intentar el acceso, en caso contrario la persona usuaria deberá reportar una incidencia con una descripción del problema a su Centro de Atención ás Personas Usuarias (Unidad de Atención a Centros - U.A.C.) correspondiente.
-
Cuando una persona usuaria olvide su contraseña, deberá reportar una incideencia con una descripción del problema a su Centro de Atención a las Personas Usuarias correspondiente (Unidad de Atención a Centros - U.A.C.).