Control de contraseñas

Actualmente, las credenciales de nombre de usuario y contraseña son las credenciales más comunes que se usan para la autenticación. Aunque otros tipos de credenciales, como los certificados y la biometría, comienzan a encontrar su camino en el mundo de los sistemas y las redes, a menudo se realizan copias de seguridad mediante contraseñas. Además, incluso cuando se usan certificados, sus claves de cifrado deben protegerse. Por lo tanto, los nombres de usuario y las contraseñas seguirán utilizándose para las credenciales en el futuro previsible.

Dado que las contraseñas y las claves de cifrado van a estar alrededor de un tiempo, es importante que los sistemas de software los usen de forma segura. Si un sistema de red o equipo debe permanecer seguro, las contraseñas deben protegerse de intrusos. Esto podría parecer trivial al principio. Sin embargo, el sistema después del sistema y la red después de haber estado en peligro porque un atacante ha podido detectar las contraseñas de los usuarios. Los problemas van desde los usuarios que comparten sus contraseñas con alguien, hasta el software que puede ser penetrado por un atacante.

Es imposible almacenar información secreta en software de forma completamente segura. Y dado que el almacenamiento de contraseñas y claves de cifrado en un sistema de software nunca puede ser completamente seguro, se recomienda que no se almacenen en un sistema de software.

Sin embargo, cuando las contraseñas deben almacenarse en un sistema de software, que suele ser el caso, hay precauciones que se pueden tomar. La precaución principal es hacer que sea lo más difícil posible para que un intruso detecte una contraseña. Al igual que bloquear las puertas de su casa, si alguien está decidido a romperse, es casi imposible evitar que lo hagan. Pero esperamos que haya elevado el nivel de dificultad suficiente para que el intruso se encuentre más fácil.

Hay muchas maneras de hacer que el trabajo de un atacante de detectar contraseñas sea más difícil. Sin embargo, la extensión de lo que realmente se puede hacer suele ser un equilibrio con lo que los usuarios de la red o el sistema están dispuestos a vivir con. Por ejemplo, tome el caso en el que no se usa "inicio de sesión único" y se solicita al usuario una contraseña cada vez que se inicia una aplicación. En la mayoría de los casos, esto crearía una carga significativa para los usuarios, y probablemente se quejarían. No solo eso, sino que la falta de un inicio de sesión único es ineficaz y degradaría la productividad de los usuarios. Por lo tanto, prácticamente hablando, una contraseña generalmente no se recopila de un usuario excepto en el momento de iniciar sesión.

Dado que las contraseñas se deben almacenar normalmente en el sistema de software, es importante asegurarse de que las contraseñas se mantengan lo más seguras posible y que la comodidad de los usuarios se mantenga. Para obtener más información, vea los temas siguientes:

Nota

Cuando haya terminado de usar contraseñas en aplicaciones, borre la información confidencial de la memoria mediante una llamada a la función SecureZeroMemory .