Inicio / Protege tu empresa / Blog / La gestión de las contraseñas

La gestión de las contraseñas

Publicado el 30/01/2009, por Jorge Campanillas Ciaurriz

Uno de los talones de aquiles de la seguridad se encuentra en las contraseñas y en la gestión de las mismas, ya sea por parte del usuario, que establece contraseñas débiles, o no tiene el suficiente sigilo en su cuidado, o por los responsables de su gestión.

Estos días han salido a la palestra diferentes noticias sobre este asunto, ya sea por la intromisión en el correo electrónico de un famoso cantante o por la denuncia de una asociación de consumidores a las grandes empresas que ofrecen servicios de correo electrónico gratuito, por la facilidad de acceder a las cuentas de los usuarios simplemente conociendo o acertando la respuesta a la pregunta que se realiza y la posibilidad posterior de cambiar la contraseña.

Asimismo, es todavía corriente, cuando se realizan auditorías de protección de datos de carácter personal, encontrarse con organizaciones que guardan las contraseñas en texto plano o sin las debidas medidas de seguridad, siendo fácil tener acceso a las contraseñas de los usuarios del sistema.

En este punto debemos recordar, tal y como se establece sobre identificación y autenticación en el artículo 93 del Real Decreto 1720/2007, de 21 de diciembre: "Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad". Además, el apartado 2 del mismo artículo recuerda que: "el documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible".

Por ello, la gestión de las contraseñas, además de una obligación establecida en el Real Decreto, y cuyo incumplimiento puede acarrear graves sanciones, es vital para la seguridad de todo el sistema mientras no se cuente con otros sistemas más adelantados de identificación y autenticación.

Tanto el usuario como la organización deben ser conscientes, como lo somos para otras claves -como la de nuestra tarjeta de crédito-, de que las contraseñas, ya sean para el servicio más nimio en el que nos podamos inscribir, son vitales para que todo el sistema de seguridad no se vaya abajo. Por ello, todas las recomendaciones que se puedan realizar, además de las obligaciones establecidas en la normativa, deben ser tomadas en cuenta para evitarnos posteriores disgustos.

Etiquetas: