Les contrasenyes continuen sent un dels principals vectors d'atac a les bretxes de seguretat. Per això, establir polítiques robustes per a la creació i la gestió de contrasenyes és fonamental per reduir riscos. A continuació, et compartim recomanacions tècniques clau:

- Compleix amb criteris de complexitat
Per minimitzar el risc d'atacs de força bruta o diccionari, les contrasenyes han de complir els requisits mínims següents:
- Longitud: 12-16 caràcters com a mínim.
- Contingut: Combinació de lletres majúscules, minúscules, números i caràcters especials.
- Absència de patrons comuns: Evita paraules del diccionari, repeticions de caràcters o combinacions trivials com «Admin123!». En aquest post et mostrem més exemples.
- Implementa un sistema de contrasenyes úniques per servei
L'ús d'una contrasenya única per a cada servei evita que un compromís en un sistema (per exemple, un atac mitjançant una bretxa de dades en un proveïdor) afecti altres comptes. Això és crític en serveis crítics com ara correu electrònic, plataformes de treball col·laboratiu o eines financeres.
- Adopta gestors de contrasenyes
Un Password Manager no sols redueix la necessitat de recordar contrasenyes, sinó que també pot generar credencials altament complexes i úniques. Exemples recomanats inclouen:
- Bitwarden (Open Source)
- 1Password (Enfocat en equips)
- LastPass
- Cicle de rotació de contrasenyes
Si bé les polítiques de canvi de contrasenyes periòdiques han estat qüestionades en els darrers anys, en certs entorns crítics (per exemple, sistemes amb dades confidencials o regulades), és bona pràctica rotar-les cada 90 a 180 dies.
- Aplica la autenticació multifactor (MFA)
L'autenticació multifactor (2FA o MFA) afegeix una capa de seguretat en exigir alguna cosa més que la contrasenya. Mètodes preferits:
- Generadors de codi TOTP (com Google Authenticator o Authy).
- Tokens maquinari com YubiKey.
- Autenticació basada en biometria.
- Detecta i mitiga vulnerabilitats
- Supervisa credencials compromeses: Eines com Have I Been Pwned permeten verificar si un hash de les teves contrasenyes ha estat filtrat en incidents de seguretat.
- Polítiques de bloqueig: Configura bloquejos automàtics després de diversos intents fallits per reduir la probabilitat datacs de força bruta.
- Emmagatzematge segur: Les contrasenyes s'han d'emmagatzemar en bases de dades com hashes assegurances generades amb algorismes robustos (per exemple, bcrypt o Argon2) i amb sal aleatòria per a cada entrada.
- Educa els usuaris finals
En entorns empresarials, reforça l'educació del personal sobre la importància de contrasenyes fortes i el seu paper a la seguretat global del sistema.
- Automatitza auditories periòdiques
Implementa eines per revisar contínuament la robustesa de les contrasenyes i fer auditories de compliment en els teus sistemes.