Imperva alerta sobre el mal uso de las contraseñas empresariales

Imperva, compañía especializada en poner el foco en la protección de datos y sitios web, ha hecho públicos los datos del estudioLas malas prácticas en las contraseñas empresariales. Una continuación del informe elaborado en 2009 donde se desgranan las técnicas que usan los ciberdelincuentes, cada vez más preparados, para robar información. El análisis explica cómo los hackers esquivan los controles de seguridad y los recursos online empleados por los mismos. Unas técnicas muy accesibles y populares que cuentan con la ayuda de de sitios en la Red como como MD5 decrypter o Cyberwar Zone, dedicadas a difundir más de 50 millones de combinaciones de posibles contraseñas. Imperva recomienda a las empresas para defenderse el uso de passphrases. Un método basado en seleccionar contraseñas largas que sean más fáciles de recordar. Estas frases pueden aportan la longitud necesaria y, al mismo tiempo, evitan que el usuario tenga que escribir la contraseña secreta en una nota que luego guarde en su mesa de trabajo. En segundo lugar, hay que exigir a las empresas políticas más firmes en lo referente a contraseñas. No solo restricciones en cuanto a los tipos de caracteres, sino también hace referencia a una necesaria comparación con los diccionarios usados por los hackers. Un ejemplo reciente es el de Hotmail, que ha prohibido el uso de contraseñas comunes. Esto supone para la empresa no permitir el uso de determinadas claves para sitios específicos, ni tampoco determinadas secuencias númericas previsibles o comunes. Asimismo, es necesario utilizar una forma especial de encriptación conocida como salted digests (resumen aleatorio). Un valor al azar que se antepone a la contraseña antes de ser encriptada, circunstacia que complica de forma importante el coste para descifrar la contraseña. Así, se disuade a aquellos atacantes con motivaciones económicas que tendrían que realizar una mayor inversión para hacerse con este tipo de contraseñas.
“Creemos que la responsabilidad en este ámbito no recae en los usuarios, sino en las empresas, que deben ser las encargadas de promover una política correcta en materia de contraseñas y unos procedimientos de seguridad apropiados”, explica Amichai Shulman, CTO de Imperva. Y añade que: “las contraseñas deben ser vistas por los equipos TI de las empresas como datos de importancia crítica”.