Descarga el artículo en mp3
Partiendo de la premisa de que la seguridad al 100% no existe, en el presente artículo se presentan una serie de recomendaciones para facilitar esta gestión de los accesos con las suficientes garantías y minimizar los riesgos.
1. Piénsalo bien antes de darte de alta en un servicio, (y si realmente lo necesitas).
Al usar un
servicio, será mucho mejor si puedes hacer uso de él sin suscribirte para
evitar tener que aportar datos personales o el correo electrónico donde
recibirás información y posiblemente mucha publicidad. Es aconsejable tener una
cuenta de correo independiente (Siempre podrás asociar a la cuenta principal
más adelante si fuera necesario o más cómodo).
2. Usa el certificado digital, (si el servicio lo permite).
A fecha de hoy es
una opción cómoda y segura. Personalmente prefiero usar el Dni electrónico o un
certificado dentro de una tarjeta criptográfica. Si instalas el certificado en
el navegador en un dispositivo de confianza asegúrate que lo haces con contraseña.
La realidad es
que esta forma de acceso, al menos en España, solo está extendida en las
administraciones públicas y en algún proveedor bancario o gran empresa.
3. Identifícate mediante “Single-Sign-On”, (si el servicio es de confianza y lo permite).
En muchos servicios
de Internet es muy común autenticarte con el usuario de Google, Facebook o
Twitter. Estos ofrecen una API que permiten al proveedor de servicios final usar
estos usuarios. Asegúrate que el servicio es de confianza y no requiere más
permisos de los necesarios (Por ejemplo, que no te pida autorización para
publicar automáticamente en tu muro…).
En los entornos
empresariales la implementación de un sistema single-sign-on (por ejemplo, con
el usuario del sistema operativo) es cómoda y segura tanto para el usuario
final como para la gestión de los departamentos de tecnologías de la
información. Por desgracia, no siempre es posible y a veces requiere mucho
esfuerzo implantarlo en aplicaciones antiguas.
4. Doble factor de autenticación y vinculación de
dispositivos.
Recomiendo activar esta opción, ofrecida por muchos proveedores de servicios, que permite asociar un número de móvil o un correo que te
envía un código temporal antes de acceder (“One-Time-Password”). Si alguien
obtuviera tu contraseña precisará de este código temporal adicional para poder
acceder desde un dispositivo no vinculado. (Suele ser gratuito, aunque en
alguna zona podría tener algún coste por parte del operador en el envío del SMS
con el código.)
5. Gestores de contraseñas.
En muchos casos
no queda más remedio que dar de alta nuevos usuarios con contraseñas. Es muy
recomendable que uses un gestor de contraseñas para guardar la información de tus accesos encriptada. Existen muchos en el mercado, tanto de pago como de software libre: Keepass, LastPass, Password Safe, Enpass, Remembear, Dashlane etc.)
Por ejemplo, KeePass es opensource y te permitirá tener guardada la información de tus accesos de forma encriptada.
Por ejemplo, KeePass es opensource y te permitirá tener guardada la información de tus accesos de forma encriptada.
6. Contraseñas fuertes y robustas.
La contraseña
estará obligada a cumplir la política de seguridad del sitio y si incluye
números y caracteres será más difícil de “romper”. Es recomendable usar frases
con reglas que sustituyan determinados caracteres.
7. Cuidado con los patrones, keyloggers, phising etc.
Los patrones para
acceder a un terminal móvil son cómodos, pero menos seguros. Si el patrón es
muy simple se “caza” rápidamente y muchas veces se ve marcado en el propio móvil.
Si usas patrones intenta que haya trazas que sobrescriban sobre el camino
anterior. Cuidado también con las huellas ya que quedan marcadas en el lector
del terminal si no este no se limpia.
Un Keylogger es
un malware que registra las pulsaciones del teclado, por ejemplo, contraseñas,
para enviarlas a un sitio. Asegúrate que el software que tienes instalado es de
confianza. Para estos casos algunos servicios solicitan las contraseñas
mediante teclados en pantalla que son más seguros, por ejemplo, algunos bancos
te muestran un teclado que no siempre está en las mismas coordenadas o te piden
posiciones aleatorias de la contraseña.
Intenta siempre
acceder a tus servicios desde tus propios enlaces verificados en favoritos y
cuidado con los correos con enlaces extraños que intentan suplantar páginas de
servicios solicitando tu acceso (Phising). Fíjate que las páginas son https (seguro)
con el certificado correcto que se corresponde con el dominio al cual quieres
acceder y se consciente que nunca se debería solicitar una contraseña por
correo electrónico.
Creando
contraseñas robustas - Oficina de Seguridad del Internauta
KeePass –
Página Oficial
KeePass – Oficina
de Seguridad del Internauta
Keylogger
– Wikipedia
Phising -
wikipedia
Conoce a fondo el
Phising – Oficina de Seguridad del Internauta
Comprueba la fiabilidad de tu contraseña
7 recomendaciones para la gestión de los accesos
Reviewed by Bloginnova
on
octubre 01, 2018
Rating: