Contraseñas: usos y recomendaciones
La gestión adecuada de las contraseñas es esencial para la protección de la información tratada en la empresa.
Las contraseñas son el principal mecanismo de autenticación utilizado por el personal en su acceso a los sistemas de información.
La seguridad que proporcionan las contraseñas depende, en gran medida, de su confidencialidad. Si bien los mecanismos de gestión y uso de contraseñas están evolucionando constantemente, la elección y el control de las contraseñas continúa siendo una responsabilidad personal de aquellos que utilizamos los sistemas de información.
Con carácter general, la contraseña:
- No podrá ser asociada con facilidad a cualquier información relacionada con el usuario de la cuenta. Por ejemplo, números del DNI, matrículas de vehículos, nombres de familiares, denominaciones de departamentos o empresas, etc.
- No estará formada por secuencias de caracteres o palabras fácilmente predecibles.
- Tendrá una longitud mínima de ocho caracteres.
- Combinará diferentes tipos de caracteres tipográficos: mayúsculas, minúsculas, números y caracteres especiales.
- Será cambiada de forma inmediata por el Usuario siempre que el sistema sugiera su cambio.
- Las contraseñas se cambiarán periódicamente.
La selección de la contraseña deberá realizarse de acuerdo con los criterios de seguridad del sistema o de la aplicación concreta. Un uso correcto de las contraseñas supone:
- No acceder con la contraseña de otro Usuario, ni modificar contraseñas de otros Usuarios, sin la expresa autorización y previo conocimiento del Responsable de la Información.
- No compartir las cuentas y contraseñas con otros Usuarios, incluso si estos son superiores o colaboradores, ni hablar de ellas en público.
- No anotar las contraseñas en sitios visibles o de fácil acceso, ni almacenarlas en ficheros de ordenador sin proteger.
- No teclear la contraseña si hay alguien observando.
- No utilizar la posibilidad de “Recordar Contraseña” que ofrecen algunas aplicaciones como los navegadores web o el correo electrónico.