Se encuentra en:
Contraseñas
LIBP-0272 (Libro de pautas)
- Área: Control de Acceso y Autenticación
- Tipo de pauta: Directriz
- Carácter de la pauta: Obligatoria
Utilizar contraseñas para evitar que las personas sin autorización puedan acceder al sistema.
Es necesario proteger la aplicación mediante el uso de contraseñas, ya que de esta manera, se puede controlar quién accede a la aplicación.
A continuación se muestran una serie de indicaciones sobre el manejo de dichas contraseñas.
Pautas
| Título | Carácter |
|---|---|
| Cambio de contraseña | Obligatoria |
| Asegurar el cambio de contraseña | Obligatoria |
| Auto-completar | No Recomendada |
| Contraseñas irreversibles | Obligatoria |
| Contraseñas en blanco | No Recomendada |
| Longitud | Obligatoria |
| Caracteres especiales | Recomendada |
| Periodo de validez | Recomendada |
Cambio de contraseña
Dar al usuario la opción de cambiar de contraseña.
Se debe dar al usuario la posibilidad de cambiar la contraseña, ya que esta puede haber sido desvelada por el propio usuario o rota por algún agente externo malintencionado.
Asegurar el cambio de contraseña
Requerir la contraseña anterior y la confirmación de la contraseña nueva.
Para poder cambiar la contraseña actual, la función debe solicitar:
- La contraseña anterior. Para evitar que alguien que no conozca la contraseña la cambie
- La nueva contraseña
- Una confirmación de la nueva contraseña. Para evitar que se produzcan errores por haber introducido la nueva contraseña de forma incorrecta.
Auto-completar
Desactivar la función auto-completar para prevenir que los navegadores recuerden cualquier información que se haya introducido.
Se debe desactivar la función auto-completar para prevenir que los navegadores guarden nuestra información y esta quede, de forma involuntaria, almacenada en el equipo que se ha empleado para acceder a la aplicación.
Contraseñas irreversibles
Garantizar que las contraseñas sean irreversibles.
Las contraseñas son secretas. No hay razón para descifrarlas bajo ninguna circunstancia. Por lo tanto, no hay razón para almacenar contraseñas en forma reversible.
Las contraseñas se deben proteger mediante mecanismos de cifrado.
Contraseñas en blanco
No permitir el uso de contraseñas en blanco
La aplicación no debe permitir introducir contraseñas en blanco. Si se permitieran, no habría seguridad en la aplicación, ya que cualquiera que conociese nuestro usuario seria capaz de acceder al sistema.
Longitud
Exigir un número mínimo de caracteres a las contraseñas
Si bien la longitud mínima requerida para una contraseña puede variar en función de la criticidad del sistema que protege, se recomienda que se establezca siempre un número mínimo de caracteres, con el fin de dificultar un intento de ruptura de la contraseña mediante el enfoque de fuerza bruta.
Caracteres especiales
Emplear caracteres especiales en la contraseña.
Se recomienda que las contraseñas contengan caracteres especiales como (*,#,@...), ya que el empleo de estos caracteres disminuye la efectividad de los algoritmos de descifrado de contraseñas que emplean diccionarios de datos.
Periodo de validez
Establecer un periodo máximo de validez de la contraseña
Se debería establecer un periodo máximo a partir del cual una contraseña debe ser cambiada, ya que cuanto más tiempo se emplee la misma contraseña, mayores son las posibilidades de que sea desvelada a otro usuario por accidente o de que sea rota por un proceso malintencionado.
Se deberá avisar al usuario que su contraseña va a expirar y darle un tiempo para que la cambie.
