Control de contraseñas
Actualmente, las credenciales de nombre de usuario y contraseña son las credenciales más comunes que se usan para la autenticación. Aunque otros tipos de credenciales, como los certificados y la biometría, comienzan a encontrar su camino en el mundo de los sistemas y las redes, a menudo se realizan copias de seguridad mediante contraseñas. Además, incluso cuando se usan certificados, sus claves de cifrado deben protegerse. Por lo tanto, los nombres de usuario y las contraseñas seguirán utilizándose para las credenciales en el futuro previsible.
Dado que las contraseñas y las claves de cifrado van a estar a punto, es importante que los sistemas de software los usen de forma segura. Si un sistema de red o equipo debe permanecer seguro, las contraseñas deben protegerse de intrusos. Esto podría, al principio, parecer trivial. Sin embargo, el sistema después del sistema y la red después de la red se han puesto en peligro porque un atacante ha podido detectar las contraseñas de los usuarios. Los problemas van desde los usuarios que comparten sus contraseñas con alguien, hasta el software que puede ser penetrado por un atacante.
Es imposible almacenar información secreta en el software de forma completamente segura. Y dado que el almacenamiento de contraseñas y claves de cifrado en un sistema de software nunca puede ser completamente seguro, se recomienda que no se almacenen en un sistema de software.
Sin embargo, cuando las contraseñas deben almacenarse en un sistema de software, que suele ser el caso, hay precauciones que se pueden tomar. La precaución principal es hacer que sea lo más difícil posible para que un intruso detecte una contraseña. Al igual que bloquear las puertas de su casa, si alguien está decidido a romperse, es casi imposible evitar que lo hagan. Pero espero que haya elevado el nivel de dificultad suficiente para que el intruso se encuentre más fácil.
Hay muchas maneras de hacer que el trabajo de un atacante de detectar contraseñas sea más difícil. Sin embargo, la extensión de lo que realmente se puede hacer es normalmente un equilibrio con lo que los usuarios de la red o el sistema están dispuestos a vivir. Por ejemplo, tome el caso en el que no se usa el "inicio de sesión único" y se solicita al usuario una contraseña cada vez que se inicia una aplicación. En la mayoría de los casos, esto crearía una carga significativa para los usuarios y probablemente se quejaría. No solo eso, pero la falta de inicio de sesión único es ineficaz y degradaría la productividad de los usuarios. Por lo tanto, prácticamente hablando, una contraseña generalmente no se recopila de un usuario, excepto en el momento de iniciar sesión.
Dado que las contraseñas normalmente deben almacenarse en el sistema de software, es importante asegurarse de que las contraseñas se mantengan lo más seguras posible y que se mantenga la comodidad de los usuarios. Para obtener más información, vea los temas siguientes:
Nota:
Cuando haya terminado de usar contraseñas en aplicaciones, borre la información confidencial de la memoria mediante una llamada a la función SecureZeroMemory .