Gestión de Accesos: Mejores Prácticas y Herramientas Esenciales

Otra de las recomendaciones de la seguridad informática para cubrir todos los factores de autenticación son :
1.-Algo que sabes
2.-Algo que tienes
3.-Algo que eres

Gestión de accesos

La gestión de accesos hace referencia ala forma en la que se trata la información que permite a los usuarios autenticarse en los sistemas, tales como contraseñas, claves, tokens, etc.

Tipos de gestión de accesos:

• Locales (offline): Las credenciales se almacenan en un archivo local, normalmente protegidas por una contraseña maestra. Para esto se puede usar el software KeePass.
• Servicio web (online): Las credenciales se almacenan en un servido web, de esta forma, se puede acceder a ellas desde cualquier dispositivo. Para esto se puede usar el servicio LastPass.
• Basados en token: Permite la autenticación de los usuarios mediante un dispositivo (token) físico, normalmente un USB.

Dependiendo del servicio utilizado, pueden obtenerse algunos de los siguientes beneficios:

• Uso de contraseñas maestras + token.
• Promueve el fortalecimiento de las contraseñas.
• Repositorios debidamente cifrados.
• Algunos servicios implementan passwordless
• Generador de contraseñas seguras.
• Permiten compartir contraseñas de forma segura entre miembros de un equipo.

Se recomienda tener un sistema de gestion de acceso robusto, interconectado con RRHH, para que una vez el empleado sea vaya de la compañia, los accesos sean deshabilitados, tambien que las aprobaciones tengan un ciclo seguro y que solo el personal idoneo tenga acceso a la información necesaria.

Principio de menor privilegio.

Yo uso bitwarde, te deja usarlo donde quieras.

Utilice contraseñas únicas para cada cuenta en línea
Posiblemente tenga más que una cuenta en línea y cada cuenta debe tener una contraseña única. Son muchas contraseñas para recordar. Sin embargo, la consecuencia de no usar contraseñas seguras y únicas los deja a usted y sus datos vulnerables ante los delincuentes cibernéticos. Usar la misma contraseña para todas las cuentas en línea es como usar la misma llave para todas las puertas cerradas; si un atacante consiguiera su contraseña, tendría acceso a todo lo que usted posee. Si los delincuentes obtienen su contraseña mediante la suplantación de identidad, por ejemplo, intentarán ingresar en sus otras cuentas en línea. Si solo utiliza una contraseña para todas las cuentas, pueden ingresar en todas estas, robar o borrar todos sus datos, o hacerse pasar por usted. Utilizamos tantas cuentas en línea que necesitan contraseña que es demasiado para recordar. Una solución para evitar reutilizar las contraseñas o utilizar contraseñas débiles es utilizar un administrador de contraseñas. El administrador de contraseñas almacena y encripta todas sus contraseñas complejas y diferentes. El administrador puede ayudarlo a iniciar sesión en sus cuentas en línea automáticamente. Solo debe recordar la contraseña maestra para acceder al administrador de contraseñas y administrar todas sus cuentas y contraseñas.
Consejos para elegir una buena contraseña:
• No use palabras del diccionario o nombres en ningún idioma.
• No use errores ortográficos comunes de palabras del diccionario.
• No use nombres de equipos o cuentas.
• De ser posible, use caracteres especiales como ! @ # $ % ^ & * ( ).
• Utilice una contraseña con diez o más caracteres.

Las Yubikey son dispositivos de seguridad físico que se utiliza para autenticar el acceso a dispositivos, servicios y aplicaciones. Funciona mediante la inserción en un puerto USB o mediante NFC, y al presionar su botón, genera una contraseña única que se emplea para la autenticación. Esto ayuda a proteger contra el robo de contraseñas y el phishing, ya que la contraseña generada no puede ser registrada ni reproducida. Yubikey también puede almacenar certificados criptográficos y funcionar como una llave criptográfica para la autenticación de dos factores.
En cuanto al uso NFC, se refiere a comunicación de campo cercano (Near Field Communication en inglés). Es una tecnología de comunicación inalámbrica que permite la transferencia de datos entre dispositivos a corta distancia, normalmente a menos de 4 cm. NFC utiliza una frecuencia de radio de 13,56 MHz y permite que dos dispositivos, como un teléfono inteligente y una etiqueta NFC o un dispositivo NFC similar, se comuniquen entre sí mediante la acercación física. Es utilizado en muchas aplicaciones, como el pago móvil, la autenticación, la configuración de dispositivos y la transferencia de datos.

https://www.security.org/how-secure-is-my-password/

Pagina Web para ver que tan segura es mi contraseña

Creación de una contraseña segura
Las contraseñas se usan mucho para reforzar el acceso a los recursos. Los atacantes usarán muchas técnicas para descubrir las contraseñas de los usuarios y conseguir acceso no autorizado a recursos o datos. Para protegerse mejor, es importante que entienda en qué consiste una contraseña segura y cómo almacenarla en forma segura. Las contraseñas seguras tienen cuatro requisitos principales que se detallan a continuación por orden de importancia:
1) El usuario debe poder recordar la contraseña fácilmente.
2) Otra persona no debe poder adivinar la contraseña.
3) Un programa no debe poder adivinar ni descubrir la contraseña.
4) Debe ser compleja, incluyendo números, símbolos y una combinación de letras mayúsculas y minúsculas.
Basándose en la lista anterior, el primer requisito, probablemente, sea el más importante porque usted debe poder recordar su contraseña. Por ejemplo, la contraseña #4sFrX^-aartPOknx25_70!xAdk<d! se considera una contraseña segura porque satisface los tres últimos requisitos, pero es muy difícil de recordar. Muchas organizaciones requieren contraseñas que contengan una combinación de números, símbolos y letras mayúsculas y minúsculas. Las contraseñas que cumplen con esta política están bien siempre y cuando los usuarios puedan recordarlas. Abajo hay un ejemplo de un conjunto de directivas de contraseña en una organización típica:
• La contraseña debe tener una longitud de, al menos, 8 caracteres.
• La contraseña debe contener letras mayúsculas y minúsculas.
• La contraseña debe contener un número.
• La contraseña debe contener un carácter especial
Una excelente forma de crear contraseñas seguras es elegir cuatro o más palabras al azar y concatenarlas. La contraseña televisionranabotasiglesia es más segura que J0n@que#81. Observe que, si bien la segunda contraseña cumple con las políticas antes descritas, los programas descifradores de contraseñas (cracks) son muy eficientes para detectar este tipo de contraseña. Aunque muchos conjuntos de directivas de contraseña no aceptarán la primera contraseña, televisionranabotasiglesia, esta es mucho más segura que la segunda. Es mucho más fácil de recordar para el usuario (especialmente, si está asociada con una imagen), es muy larga y su factor aleatorio hace que sea más difícil de adivinar para los programas descifradores de contraseñas.

Entonces, ¿qué es una contraseña segura?
Teniendo presentes las características de contraseña segura provistas al inicio de este laboratorio, elija una contraseña que sea fácil de recordar pero difícil de adivinar. Está bien usar contraseñas complejas siempre que no afecten requisitos más importantes como la capacidad para recordarlas fácilmente. Si se usa un administrador de contraseñas, la necesidad de que puedan recordarse fácilmente puede omitirse. A continuación, se proporciona un resumen rápido:
Elija una contraseña que pueda recordar.
Elija una contraseña que otra persona no pueda asociar con usted.
Elija contraseñas diferentes y nunca use la misma contraseña para servicios diferentes.
Está bien usar contraseñas complejas siempre que esto no las haga difíciles de recordar

Use una frase en lugar de una palabra como contraseña.
Para evitar el acceso físico no autorizado a los dispositivos informáticos, use frases en lugar de palabras como contraseñas. Es más fácil crear una contraseña larga en forma de frase que en forma de palabra porque generalmente está en el formato de oración en lugar de palabra. Una longitud mayor hace que las frases sean menos vulnerables a los ataques de fuerza bruta o de diccionario. Además, una frase puede ser más fácil de recordar, especialmente si debe cambiar de contraseña con frecuencia. Aquí se incluyen algunas sugerencias para elegir buenas contraseñas o frases:
Sugerencias para elegir una buena frase:
• Elija una oración que signifique algo para usted.
• Agregue caracteres especiales, como ! @ # $ % ^ & * ( ).
• Mientras más larga, mejor.
• Evite oraciones comunes o famosas, por ejemplo, letras de una canción popular.
Recientemente, el Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos publicó requisitos de contraseña mejorados. Las normas del NIST están destinadas a aplicaciones del gobierno, pero también pueden servir como normas para otras. Las nuevas pautas tienen como objetivo proporcionar una mejor experiencia del usuario y poner la responsabilidad de comprobación del usuario en los proveedores.
Resumen de las nuevas pautas:
• Esta debe tener una longitud mínima de 8 caracteres, pero no más de 64 caracteres.
• No utilice contraseñas comunes ni que se puedan adivinar con facilidad; por ejemplo, contraseña, abc123.
• No hay reglas de composición, como el tener que incluir números y letras mayúsculas y minúsculas.
• Mejore la precisión de escritura permitiendo que el usuario vea la contraseña mientras la escribe.
• Se permiten todos los caracteres de impresión y espacios.
• Sin pistas de contraseña.
• Sin fecha de caducidad periódica o arbitraria de la contraseña.
• Sin autenticación basada en conocimientos, tales como información de preguntas secretas compartidas, datos de marketing, historial de transacciones.
Haga clic aquí para obtener más información sobre el requisito de contraseña mejorado del NIST. Aunque el acceso a sus computadoras y dispositivos de red sea seguro, también es importante proteger y preservar sus datos.

Autenticación de dos factores
Los servicios en línea más populares, como Google, Facebook, Twitter, LinkedIn, Apple y Microsoft, utilizan la autenticación de dos factores para agregar una capa adicional de seguridad para los inicios de sesión de la cuenta. Además del nombre de usuario y la contraseña, o un patrón o número de identificación personal (PIN), la autenticación de dos factores requiere un segundo token, por ejemplo:
• Un objeto físico: una tarjeta de crédito, una tarjeta de cajero automático, un teléfono o un control.
• Escaneo biométrico: huellas digitales, impresión de la palma o reconocimiento de voz o de rostro.
Incluso con la autenticación de dos factores, los hackers aún pueden obtener acceso a sus cuentas en línea mediante ataques tales como suplantación de identidad, malware e ingeniería social.

**Almacenamiento seguro de contraseñas
**Si el usuario elige usar un administrador de contraseñas, la primera característica de una contraseña segura puede ignorarse porque el usuario tiene acceso al administrador de contraseñas en todo momento. Tenga presente que algunos usuarios solo confían en su propia memoria para guardar sus contraseñas. Los administradores de contraseñas, tanto locales como remotos, deben tener un almacén de contraseñas, que podría verse comprometido. El almacén de contraseñas del administrador de contraseñas debe tener un cifrado seguro y el acceso a este debe controlarse estrictamente. Gracias a aplicaciones de teléfonos móviles e interfaces web, los administradores de contraseñas basados en la nube ofrecen acceso ininterrumpido y en cualquier momento a los usuarios Un administrador de contraseñas popular es LastPass. Cree una cuenta de LastPass de prueba:
a. Abra un navegador web y vaya a https://lastpass.com/.
b. Haga clic en Start Trial para crear una cuenta de prueba.
c. Complete los campos, según las instrucciones.
d. Establezca una contraseña maestra. Esta contraseña le da acceso a su cuenta de LastPass.
e. Descargue e instale el cliente LastPass para su sistema operativo.
f. Abra el cliente e inicie sesión con su contraseña maestra de LastPass.
g. Explore el administrador de contraseñas de LastPass.

Es importante mencionar que Lastpass fue hackeada hace un tiempo, así que no es seguro usarla como gestor de contraseñas.

OAuth 2.0
Open Authorization (OAuth) es un protocolo de estándar abierto que permite que las credenciales de los usuarios finales tengan acceso a aplicaciones de terceros sin exponer las contraseñas de los usuarios. OAuth actúa como intermediario para decidir si los usuarios finales pueden acceder a aplicaciones de terceros. Por ejemplo, supongamos que desea acceder a la aplicación web XYZ y no tiene una cuenta de usuario para acceder a esta aplicación web. Sin embargo, XYZ tiene la opción de permitirle iniciar sesión con las credenciales de la red social ABC. Por lo que puede acceder al sitio web XYZ con el inicio de sesión de la red social ABC. Para que esto funcione, la aplicación ‘XYZ’ se registra con ‘ABC’ y es una aplicación aprobada. Cuando accede a XYZ, utiliza sus credenciales de usuario para ABC. Luego XYZ solicita un token de acceso a ABC en su nombre. Ahora tiene acceso a XYZ. XYZ no tiene ninguna información sobre usted y sus credenciales de usuario; esta interacción es completamente transparente para el usuario. El uso de tokens secretos impide que una aplicación maliciosa obtenga su información y sus datos.

Yo suelo usar lastpass.

Yo uso Bitwarden, en mi opinión es la mejor que hay, y lo digo después de usar muchas alternativas, además es open source y multiplataforma. Tengan cuidado con servicios como lastpass, no entiendo como hay personas que pagan por eso sabiendo que han sufrido varias veces ataques con filtros de información, es malísimo

Gestión de Accesos

Se refiere al tratamiento que se brinda a credenciales de acceso, tokens o cualquier otro recurso que permita autenticación a un sistema.

Clasificaciones

• Locales(offline): Permiten la administración de accesos en archivo local de tu equipo con master key (KeePass)
• Servicio Web (Online): Permiten la sincronía de accesos en diferentes dispositivos a través de internet (1Password)
• Basados en Token: Permite autenticación con componente hardware, generalmente USB.

Dependiendo del servicio utilizado, pueden obtenerse algunos de los siguientes beneficios:

• Uso de contraseñas maestras + token.
• Promueve el fortalecimiento de las contraseñas.
• Repositorios debidamente cifrados.
• Algunos servicios implementan passwordless
• Generador de contraseñas seguras.
• Permiten compartir contraseñas de forma segura entre miembros de un equipo.

Gestión de Accesos: Se refiere al tratamiento que se brinda a credenciales de acceso, tokens o cualquier otro recurso que permita la autenticación a un sistema.

Clasificación

1. Locales (offline).
2. Servicio web (online).
3. Basade en tokens.

Beneficios

1. Uso de contraseñas maestras.
2. Promueve el fortalecimiento de claves.
3. Son repositorios de claves debidamente cifrados.
4. Algunos implementan passwordless option mobile. Cuando se ingresa a la aplicación se recibe un mensaje en el mobile para permitir o denegar el acceso.
5. Cuentan con generadores de contraseñas.
6. Permiten la gestión de accesos al equipo de trabajo.

Soluciones

1. KeePass Password Safe.
2. Bitwarden (https://bitwarden.com/).

Enlace para validar que tan segura es mi contraseña:
https://www.security.org/how-secure-is-my-password/

La gestión de accesos se refiere al tratamiento de credenciales de acceso y otros recursos que permiten la autenticación en un sistema. Los métodos incluyen locales, servicios web y basados token, y promueven el fortalecimiento de claves, la gestión de accesos en equipos de trabajo y la generación de contraseñas robustas. Las soluciones incluyen KeePass y My Vault para la catalogación y gestión de accesos debidamente protegidos.

Compañeros les recomiendo Nordpass para gestion de contraseñas.

pero Bitwarden es de pago

Hola, por aquí les dejo otro recurso para comprobar la seguridad de las contraseñas: Kaspersky password checker

Al utilizar la misma contraseña en las plataformas me arroja diferentes resultados, en Kaspersky recomienda cambiarla y en Security dice que tardarían 5 años🤔

Gestión de Accesos
Proceso de tratar muy bien las credenciales, que permita al usuario autenticarse en el sistema.

Tipos:
Locales (Offline):
Permite la administración de contraseñas manejadas localmente en el dispositivo, protegidas por medio de una
master key.

Servicio Web (Online):
Sincronía en diferentes dispositivos.

Basado en token:
Permite autenticación con componentes hardware, generalmente USB.

No conocia la herramienta My Vault.