Como uno de los principales expertos del gobierno federal en ciberseguridad e inteligencia de señales, la Agencia de Seguridad Nacional (NSA) se mantiene a la vanguardia de las mejores prácticas de seguridad informática. Aunque lo ideal sería que la NSA llamara la atención y enfatizara la importancia de los gestores de contraseñas, la agencia sigue recibiendo una calificación de "Bueno" en la publicación de Bitwarden Estado de la seguridad de las contraseñas: un informe y evaluación de los consejos de seguridad de las agencias federales de Estados Unidos por su enfoque proactivo de la educación en seguridad.

El 17 de febrero, la NSA dio otro paso en la dirección correcta con la publicación de su hoja informativa Tipos de contraseñas de Cisco: Hoja informativa sobre las mejores prácticas. En pocas palabras, la hoja informativa recorre los principales esquemas de seguridad de las contraseñas de Cisco y ofrece recomendaciones para asegurar las credenciales sensibles.

Según el comunicado de prensa de la NSA sobre la hoja informativa:

"Los dispositivos de Cisco se utilizan en todo el mundo para asegurar los dispositivos de infraestructura de red, incluso en el Departamento de Defensa, los Sistemas de Seguridad Nacional y la Base Industrial de Defensa... cualquier credencial dentro de los archivos de configuración de Cisco podría estar en riesgo de compromiso si no se utilizan tipos de contraseñas fuertes".

La hoja informativa se precipitó por lo que la NSA llama un "aumento del número de compromisos de las infraestructuras de red en los últimos años" debido a que los ciber adversarios obtienen "valores de contraseñas con hash y otra información sensible de los archivos de configuración de la infraestructura de red."

La hoja informativa señala que Cisco ofrece una variedad de esquemas de hash y cifrado de contraseñas, y se propone evaluar cada uno de ellos revisando su "dificultad para descifrar y recuperar la contraseña en texto plano, su gravedad de vulnerabilidad y las recomendaciones de uso de la agencia".

La tabla de alto nivel muestra los tipos, el impacto y las recomendaciones.

Como puedes ver, sólo una -la contraseña Cisco de tipo 8- está recomendada para su uso por la NSA. Antes de entrar en más detalles sobre esto, una rápida transición: la NSA hace hincapié en la aprobación del NIST (Instituto Nacional de Estándares y Tecnología) porque el NIST es el abanderado de los consejos de seguridad del gobierno federal. A lo largo de los años, ha desarrollado marcos de gestión de riesgos, directrices de identidad y está completamente al día en cuanto a la seguridad de las contraseñas. Puede encontrar más información sobre el NIST y su calificación de "Muy bueno" en el informe Bitwarden State of Password Security.

Volviendo a las contraseñas de Cisco de tipo 8 y a las razones por las que se encuentran en la cima - lenguaje textual de la hoja de información:

Las contraseñas de tipo 8 se cifran con la función de derivación de clave basada en la contraseña versión 2 (PBKDF2), SHA-256, una sal de 80 bits y 20.000 iteraciones, lo que las hace más seguras en comparación con los tipos de contraseña anteriores. Las contraseñas se almacenan como hashes dentro del archivo de configuración. El tipo 8 consume menos recursos que las contraseñas del tipo 9. No se han encontrado problemas conocidos en relación con las contraseñas de tipo 8. La NSA recomienda el uso del Tipo 8.

En términos sencillos, la NSA recomienda las contraseñas de tipo 8 porque están cifradas (el acto de convertir las contraseñas de texto plano en una "serie ininteligible de números y letras"; véase la imagen de Okta más abajo) con los algoritmos de cifrado más seguros disponibles.

Además de recomendar el tipo 8, la hoja informativa también hace hincapié en utilizar contraseñas seguras desde el principio. Esto incluye una combinación de números, letras y símbolos; al menos 15 caracteres; y evitar ciertos patrones, como los paseos por el teclado, los relacionados con la organización o los que son fáciles de adivinar. Además, cita la importancia de aplicar niveles de privilegio a las cuentas de los usuarios en función de sus funciones.

Para obtener más información sobre los avisos y orientaciones de seguridad de la NSA, visite la biblioteca de la NSA. Si le interesa estar al tanto de los consejos de seguridad de las contraseñas del gobierno federal, también puede consultar el informe Bitwarden State of Password Security.

Si quiere empezar a proteger sus contraseñas hoy mismo, regístrese para obtener una cuenta básica gratuita de Bitwarden o una prueba gratuita de 7 días de nuestros planes empresariales para dotar a su empresa de una gestión de contraseñas segura.

Link - Fuente

Si te ha gustado el contenido, puedes apoyarnos con un

Donativo

¡Gracias por tu colaboración!