Si su organización es como muchas, es posible que sus empleados dependan de
contraseñas débiles o fáciles de adivinar y, sin darse cuenta, estén
extendiendo la alfombra roja a los ciberdelincuentes en el proceso.
Entonces, ¿cómo evitar que su personal deje las claves de los datos y sistemas
de su organización bajo el proverbial felpudo?
Integrar un diccionario personalizado en su política de contraseñas debería
ser parte de la solución.
¿Qué son los diccionarios personalizados?
Los diccionarios personalizados son listas especializadas de palabras, frases
y combinaciones de caracteres que los usuarios finales tienen prohibido
utilizar al crear sus contraseñas. Un diccionario personalizado debería ser
mucho más que una lista de palabras estándar; debe incluir términos
específicos de su organización, así como palabras y frases comunes asociadas
con su industria.
Básicamente, incorporar un diccionario personalizado en su política de
contraseñas le brinda a su organización una capa adicional de defensa dirigida
contra ataques basados en credenciales.
¿Por qué se necesitan diccionarios personalizados?
Los diccionarios personalizados son importantes por numerosas razones:
-
Los usuarios finales crean contraseñas débiles o fáciles de adivinar:
incluso con sus mejores esfuerzos educativos, los humanos somos criaturas de
hábitos, lo que significa que muchos usuarios optarán por contraseñas
fáciles de recordar (y, por lo tanto, fáciles de adivinar). Estos incluyen
información personal (el nombre de su cónyuge), palabras comunes (admin,
contraseña) o variaciones simples de contraseñas prohibidas (¡qwerty123!).
Otra opción tentadora y memorable es elegir palabras relacionadas con su
negocio o industria específica. -
Riesgo de ataques de fuerza bruta/diccionario híbrido: los ciberdelincuentes
frecuentemente emplean ataques de fuerza bruta y de diccionario híbrido para
descifrar contraseñas, y si no tienes un diccionario personalizado, este
tipo de ataques pueden ser extremadamente efectivos. Por ejemplo, pueden
agregar el nombre y los productos de su organización a sus diccionarios de
ataques, con la esperanza de que al menos un puñado de usuarios finales
hayan utilizado estos términos en sus contraseñas. -
Ingeniería social y ataques dirigidos: los ciberdelincuentes pueden
recopilar fácilmente información sobre su organización y sus empleados a
través de las redes sociales y otras fuentes públicas. Luego, pueden
utilizar esta información para crear listas de palabras específicas para sus
intentos de descifrar contraseñas. Asegurarse de que su diccionario
personalizado incluya términos específicos de la empresa e información común
de los empleados puede ayudar a frustrar estos ataques. -
Vulnerabilidades específicas de la industria: cada industria tiene su jerga
y términos de uso común, y los piratas informáticos utilizan este
conocimiento para orientar mejor sus ataques a contraseñas. No olvide
reforzar su diccionario personalizado con la jerga de la industria: es una
forma sencilla de agregar una capa adicional de seguridad a su política de
contraseñas.
Ejemplos de diccionarios personalizados
Para comprender mejor el concepto de diccionarios personalizados, imagine que
maneja TI para «Mid Cheshire NHS Foundation Trust», una fundación
regional de atención médica. Mientras crea diccionarios personalizados para su
organización, querrá incluir palabras y términos como:
Términos de la industria
Como en otras industrias, los profesionales de la salud suelen utilizar la
jerga de la industria al crear contraseñas. Para proteger mejor su
organización, querrá asegurarse de que su diccionario personalizado incluya
términos que un atacante familiarizado con el sector de la salud podría probar
primero. Los ejemplos incluyen:
- NHS (National Health Service)
- A&E (Accident and Emergency)
- Triage
- Outpatient
- Inpatient
Términos específicos de la organización
Los términos exclusivos de su organización estarían entre las primeras
conjeturas para cualquiera que se dirija a ella específicamente. Para reducir
el riesgo de estos ataques dirigidos, asegúrese de que su diccionario
personalizado impida su uso en las contraseñas. Los ejemplos incluyen:
- Mid Chesire
- NE (acronym)
- Foundation trust
- Ward names (e.g., Nightingale, Florence)
- Department names (e.g., Radiology, Pathology)
- Hospital building names (e.g., Victoria Wing)
Patrones de contraseña comunes
Además de los términos específicos de la industria y la organización, desea
evitar que los usuarios dependan de formatos comunes y fáciles de adivinar.
Prohibir a los usuarios seguir patrones de contraseña comunes los obligará a
crear contraseñas únicas. Los ejemplos incluyen:
- NHS2024!
- Welcome123!
- ChangeMe1!
- NurseRN2024
- Dr[Lastname]2024
La integración de diccionarios personalizados en sus políticas de contraseñas
ayudará a mejorar la seguridad de su organización, manteniendo seguros a sus
usuarios, datos y sistemas.
Una herramienta gratuita como
Specops Password Auditor
puede ser una buena opción. Esta herramienta permite crear e importar
fácilmente listas personalizadas de contraseñas prohibidas, integrándolas
perfectamente en su entorno de Active Directory.
Fuente:
BC