Un informe reciente reveló que el proveedor de comercio electrónico, Shopify, utiliza políticas de contraseña particularmente débiles en la parte de su sitio web orientada al cliente. Según el informe, Shopify requiere que sus clientes usen una contraseña que tenga al menos cinco caracteres y que no comience ni termine con un espacio.
Según el informe, los investigadores de Specops analizaron una lista de mil millones de contraseñas que se sabía que habían sido violadas y descubrieron que el 99,7% de esas contraseñas cumplen con los requisitos de Shopify. Si bien esto no pretende sugerir que se hayan violado las contraseñas de los clientes de Shopify, el hecho de que tantas contraseñas violadas conocidas se adhieran a los requisitos mínimos de contraseña de Shopify subraya los peligros asociados con el uso de contraseñas débiles.
El peligro de las contraseñas débiles en tu Active Directory
Un estudio reciente de Hive Systems hace eco de los peligros de usar contraseñas débiles. El estudio examina la cantidad de tiempo que se requeriría para descifrar por fuerza bruta contraseñas de varias longitudes y con diferentes niveles de complejidad. Según la infografía de Hive Systems, una contraseña de cinco caracteres se puede descifrar instantáneamente, independientemente de su complejidad. Dada la facilidad con la que se pueden descifrar contraseñas más cortas utilizando la fuerza bruta, lo ideal es que las organizaciones requieran contraseñas complejas que tengan al menos 12 caracteres de longitud.
Incluso si dejara de lado las implicaciones de seguridad asociadas con el uso de una contraseña de cinco caracteres, existe un problema potencialmente mayor: el cumplimiento normativo.
Es tentador pensar en el cumplimiento normativo como el tipo de cosas por las que solo las grandes empresas tienen que preocuparse. Como tal, muchos pequeños vendedores independientes que abren cuentas de Shopify pueden desconocer felizmente los requisitos regulatorios asociados con hacerlo. Sin embargo, la industria de tarjetas de pago requiere que cualquier negocio que acepte pagos con tarjeta de crédito adherirse a los estándares oficiales de seguridad PCI.
Evitar los requisitos de PCI con un sistema de pago de terceros
Una de las cosas buenas de usar Shopify o una plataforma de comercio electrónico similar es que los minoristas no tienen que operar sus propias pasarelas de pago con tarjeta. En cambio, Shopify maneja el procesamiento de transacciones en nombre de sus clientes. Esta subcontratación del proceso de pago protege a los propietarios de negocios de comercio electrónico de muchos de los requisitos de PCI.
Por ejemplo, los estándares PCI requieren que los comerciantes protejan los datos almacenados del titular de la tarjeta. Sin embargo, cuando una empresa de comercio electrónico subcontrata su procesamiento de pagos, normalmente no estará en posesión de los datos de la tarjeta de crédito del cliente. Como tal, el propietario de la empresa puede evitar efectivamente el requisito de proteger los datos del titular de la tarjeta si, en primer lugar, nunca está en posesión de esos datos.
Sin embargo, un requisito de PCI que podría ser más problemático es el requisito de identificar y autenticar el acceso a los componentes del sistema (Requisito 8). Aunque los estándares de seguridad de PCI no especifican la longitud requerida de la contraseña, la Guía de referencia rápida de PCI DSS establece en la página 19 que «Todos los usuarios deben tener una contraseña segura para la autenticación». Dada esta declaración, sería difícil para un minorista de comercio electrónico justificar el uso de una contraseña de cinco caracteres.
Comience a reforzar la seguridad de TI internamente
Esto, por supuesto, plantea la pregunta de qué pueden hacer las empresas de comercio electrónico para mejorar la seguridad general de sus contraseñas. Quizás la recomendación más crítica sería reconocer que los requisitos mínimos de contraseña asociados con un portal de comercio electrónico pueden ser inadecuados. Desde el punto de vista de la seguridad y el cumplimiento, suele ser recomendable utilizar una contraseña que sea más larga y más compleja de lo que se requiere mínimamente.
Otra cosa que deben hacer los minoristas de comercio electrónico es analizar seriamente lo que se puede hacer para mejorar la seguridad de las contraseñas en sus propias redes. Esto es especialmente cierto si los datos de los clientes se almacenan o procesan en su red. De acuerdo a un estudio de 2019, el 60% de las pequeñas empresas cierran dentro de los 6 meses de haber sido pirateadas. Como tal, es extremadamente importante hacer todo lo posible para evitar un incidente de seguridad y una gran parte de eso implica asegurarse de que sus contraseñas sean seguras.
El sistema operativo Windows contiene configuraciones de políticas de cuenta que pueden controlar los requisitos de longitud y complejidad de la contraseña. Si bien tales controles son indudablemente importantes, la Política de contraseñas de Specops puede ayudar a las organizaciones a crear políticas de contraseñas aún más sólidas de lo que es posible utilizando solo las herramientas nativas integradas en Windows.
Una de las capacidades más convincentes que ofrece Specops Password Policy es su capacidad para comparar las contraseñas utilizadas dentro de una organización con una base de datos de miles de millones de contraseñas que se sabe que han sido comprometidas. De esa manera, si se descubre que un usuario está usando una contraseña comprometida, la contraseña se puede cambiar antes de que se convierta en un problema.
La política de contraseñas de Specops también permite a las organizaciones crear una lista de palabras o frases prohibidas que no deben incluirse en las contraseñas. Por ejemplo, un administrador puede crear una política para evitar que los usuarios utilicen el nombre de su empresa como parte de su contraseña.
Además, las organizaciones pueden usar la política de contraseñas de Specops para bloquear las técnicas que los usuarios usan comúnmente para eludir los requisitos de complejidad de las contraseñas. Esto podría incluir el uso de caracteres repetidos consecutivos (como 99999) o el reemplazo de letras con símbolos de aspecto similar (como $ en lugar de s).
La conclusión es que la Política de contraseñas de Specops puede ayudar a su organización a crear una política de contraseñas que sea mucho más segura, lo que dificultará que los ciberdelincuentes obtengan acceso a sus cuentas de usuario. Puede probar la política de contraseñas de Specops en su Active Directory de forma gratuita, en cualquier momento.