En la mayoría de las organizaciones, debido al uso intensivo de la infraestructura informática y la red, se pueden llegar a acumular un gran número de usuarios y contraseñas, además en muchas ocasiones suponen el único impedimento que existe entre datos que pueden ser críticos y un posible atacante. Debido a esto es muy importante que exista una política respecto a la creación, uso y ciclo de vida de las contraseñas corporativas.

Creación de la contraseña

Para ello serie muy importante tener en cuenta de características que debe cumplir cualquier contraseña que se quiera considerar segura.

• Longitud: Esta no debe ser menor de ocho caracteres, hay que tener en cuenta que cuanto más larga sea la contraseña mas tardaría un programa de fuerza bruta en encontrarla.
• Complejidad: Muchos programas de rotura de contraseñas buscan regularidades en las contraseñas, de tal manera que es importante que esta sea lo menos “regular” posible, expresiones del tipo “qazwsx”, “1234” o “qwerty”, son muy típicas y existen programas capaces de detectarlo, reduciendo enormemente la dificultad de encontrar la contraseña correcta.
• Variedad: La inclusión de caracteres especiales -como |, @, #, ¬-, números y alternar mayúsculas y minúsculas, aumenta la dificultad que se encontrara un atacante antes de conseguirlo.
• No identificación personal: No utilizar palabras o fechas que nos identifiquen de ninguna manera, así quedan excluidas fechas de nacimiento, boda, nombre de mascotas, nombre personal, se trata de información que algún atacante podría sacar de internet con relativa facilidad.
• No palabras de diccionario: Muchos de los ataques utilizan palabras del diccionario que debido a la alta velocidad que pueden realizar ataques de fuerza bruta (ir probando una por una) pueden acabar consiguiendo la contraseña en un tiempo relativamente corto.
• No repetir en diferentes sitios: de esta manera evita que la revelación de una contraseña permita entrar a más de un sitio.

Gestión

Además de ser cuidadosos en la creación de la contraseña, es imprescindible establecer

• Cambiar periódicamente: Dependiendo del servicio del que se trate es importante variarlas cada cierto tiempo, de tal manera que aunque haya una fuga de información no detectada o un antiguo empleado que conozca varias contraseñas corporativas, esto sea por un tiempo limitado.
• No enviar ni por email, ni sms: Las contraseñas nunca deben comunicarse a través de medios inseguros, si se proporciona en un soporte físico que este pueda destruirse y si no que sea el propio usuario el único que pueda verla.
• No utilizar contraseñas corporativas en ordenadores donde se desconozca el nivel de seguridad.
• Cambiar las contraseñas por defecto del hardware y software: Las contraseñas por defecto están publicadas y son muy fácilmente accesibles por lo que mantener dicha contraseña hace que cualquier recurso sea automáticamente inseguro.
• No apuntar las contraseñas, si se tiene que memorizar un alto número de ellas, es mejor utilizar un gestor de contraseñas.

Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla. Un ejemplo sería seleccionando la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, "La seguridad es como una cadena, es tan fuerte como el eslabón más débil" podría convertirse en "Lsec1cetfceemd".