Consellos Comúns sobre Contrasinais
Cremos que usar unha autenticación forte es un dos pasos máis efectivos e baratos que poden ser tomados para asegurar organizacións e persoas en liña. No Día Mundial de Máis dun Contrasinal, o 10 de novembro de 2023, xuntos lanzamos estes Consellos Comúns sobre Contrasinais especificando un simples pasos que calquera pode tomar para estar máis seguro:
Pasos a seguir agora
- Usar autenticación sen contrasinal
Usar autenticación sen contrasinal (passwordless), como chave de acceso (ás veces outros termos son usados), cando poidas. As chaves de acceso (passkey) son simples de usar e moito máis seguras que os contrasinais. As chaves de acceso usan criptografía para provar que es ti para servizos e lugares en liña, empregando unha chave secreta que se almacena no teu dispositivo e non é compartida nunca. Os sistemas operativos máis populares, navegadores, e servizos de correo aceptan chaves de acceso- só busca por “passkey” e o nome do teu sistema operativo, navegador ou páxina/servizo.
- Asegura a túa conta de correo
Se usas autentificación con contrasinal nas túas contas de correo, usa un contrasinal forte (longo, xerado aleatoriamente e único) (ver https://www.cisa.gov/sites/default/files/2023-08/Secure-Our-World-Passwords-Tip-Sheet.pdf) e unha verificación de multifactor ou en dous pasos (revisa o próximo punto). O correo electrónico e o xeito máis común de restablecer o teu contrasinal, e queres estar seguro de que ninguén “restableza” o teu contrasinal e teña acceso ás túas contas.
- Engade unha capa extra sobre o uso dun só contrasinal
Utilizar unha clave de seguridade hadware ou token, unha aplicación autenticadora ou un PIN proporcionado por mensaxería SMS como “segundo factor”, ademais do teu contrasinal, pode axudar a previr o phising e outros ataques. Este proceso pódese chamar “atenticación de multi factor” (MFA nas súas siglas en inglés), autenticación en dous factores (2FA) ou verificación en dous pasos. A mellor forma de engadir seguridad e usar un hardware token ou unha aplicación autenticadora no teu mógil e non depender nas mensaxes SMS para o segundo factor.
- Usar un xestor de contrasinais
Especialmente se tes contas que usan só un contrasinal e non chaves de paso o medios secundarios de autenticación, usa un xestor de contrasinais así non terás que recordar todos os teus contrasinais. Usar un xestor de contrasinais significa que podes usar contrasinais máis fortes e xeradas aleatoriamente que son máis complicadas de adiviñar. O software de xestión de contrasinais, os navegadores que xestionan os teus contrasinais e sistemas operativos poden facer todos un bo traballo. Dende logo, o contrasinal do teu xestor de contrasinais ten que ser ao mesmo tempo forte e inesquecible (segue o seguinte punto para escoller un bo contrasinal), e debes respostar rápido en cambiar todos os teus contrasinais se o te servizo de xestión de contrasinais se vira comprometido. Unha guía máis detallada esta dispoñible en inglés, por exemplo, dende o Reino Unido Xestores de contrasinal: using browsers and apps to safely store your passwords, e Canada Xestores de Contrasinal-seguridade.
- Usar unha técnica recomendada para escoller contrasinais
Se estás a escoller o teu propio contrasinal en vez de ter un xestor de ordenador ou contrasinal para xeralos, podes usar unha frase de seguridade (passphrase) (Boas maneiras para frases de seguridade e contrasinais (ITSAP.032)- Canadian Centre of Cyber Security) ou a técnica do NCSC do Reino Unido “Tres Palabras Random” para escoller contrasinais que son sinxelas de recordar pero dificiles de adiviñar. https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/three-random-words.
Se fuches “Hackeado”
- Cambio de contrasinais
Os teus contrasinais deben ser cambiados inmediatamente se algún dos teus dispositivos se ve comprometido (por exemplo, un cibercarracho instala un programa malicioso no teu computador). Se un sitio web os servizo que usas (servizo de correo electrónico, unha web, etc.) é hackeado, cambia o teu contrasinal para ese lugar ou servizo e calquera outro lugar onde usases ese contrasinal (e non deberías reusar un contrasinal). Subscribíndote a https://haveibeenpwned.com/ é un bo xeito de descubrir se tes algún contrasinal que debes cambiar. Por último, o mellor é cambiar o contrasinal a través dun aparello que non se vira comprometido.
Nota para os provedores: Esixir ou apoiar a autenticación forte en lugar de esixir que os contrasinais se cambien periodicamente.
Asinan,
American University
Anti-Phishing Working Group (APWG)
Aspen Digital
Australian Cyber Collaboration Centre
Aviation ISAC
BBB Institute for Marketplace Trust
Bfore.Ai
Black Girls in Cyber
C3Initiative
Canadian Cyber Threat Exchange
Center for Democracy & Technology
Center for Internet Security
Center for Threat-Informed Defense
Charter of Trust
Cloud Security Alliance
Consumer Reports
Craig Newmark Philanthropies
CREST International
Cyber Defence Alliance
Cyber Threat Alliance
Cyber Readiness Institute
Cyber Risk Institute
Cyber Security & Forensics Association Uganda
CyberGreen Institute
CyberPeace Institute
Cybersecurity and Infrastructure Security Agency (CISA)
Cybersecurity Network Foundation
Cybersecurity Tech Accord
Cybertrust America
CyberWA, Inc
CyberWyoming Alliance
DECO PROTeste
Disarm Foundation
DNS Research Federation
Dominio PuntoGal
EURid
Euroconsumers
European Cyber Security Organisation (ECSO)
European Cybercrime Centre – EC3 – Europol
FIDO Alliance
Forge Institute
Forum of Incident Response and Security Teams (FIRST)
Get Safe Online
Girls Who Code
Global Anti-Scam Alliance
Global Cyber Alliance
Global Resilience Federation
Hacking the Workforce
Health-ISAC
HIKS
Institute for Security and Technology
Interpol
Kenya CyberSecurity & Forensics Association
Kosciuszko Institute
Maritime Safety & Security Alliance
Microsoft
National Council of ISACs
National Cyber Forensics and Training Alliance
National Cybersecurity Alliance
National Cybersecurity Society
Netsafe
Nomad Futurist
NSI Cyber and Tech Center, Antonin Scalia Law School at George Mason University
Open Cybersecurity Alliance
OWASP
Packet Clearing House
PUNTU.EUS
R Street Institute
Rapid7
Recorded Future
Retail & Hospitality ISAC
ScamAdviser
SecureThe Village
Security Scorecard
Serianu
Shadowserver Foundation
#ShareTheMicInCyber
Sightline Security
Society of Citizens Against Relationship Scams Inc.
South West Cyber Security Cluster
STOP. THINK. CONNECT. Messaging Convention
UC Berkeley Center for Long-Term Cybersecurity
Women4Cyber Foundation
XRSI
youthprotect e.V.
Licenza
O contido textual de “Protexer a Túa Conta e Dispositivos: Consellos Comúns sobre Contrasinais” é publicado baixo a licenza de Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0). Esta licenza permite que calquera reuse o contido textual do xeito que escolla. O reuso inclúe cobros polo acceso ao contido, distribución onde sexa e como sexa que gusten, e modificar de xeito que axuste. Se alteras o contido do CC BY-SA 4.0, tamén podes derivar a túa obra derivada baixo a licenza do CC BY-SA.
Calquera uso do contido do CC BY-SA debe dar mencionar a “Nonprofit Cyber – Protecting Your Accounts and Devices: Common Guidance on Passwords.”