Llegamos a ustedes gracias a:



Reportajes y análisis

Sistemas de gestión de contraseñas

Cómo compararlos y usarlos

[08/07/2011] Con tantos nombres de usuario y passwords usados en cada inicio de sesión personal y profesional, de vez en cuando los usuarios olvidan qué combinaciones van con cada solicitud de acceso.

Esos lapsos en la memoria digital, pueden hacer que los usuarios recurran en masa a los servicios de asistencia.
Datos de Gartner muestran que las consultas relacionadas con las contraseñas suponen aproximadamente el 30% del volumen total de llamadas a los servicios de asistencia, señala Gregg Kreizman, director de investigación de la empresa.
Pero que el volumen de llamadas baja en un promedio del 70% cuando las empresas utilizan herramientas de gestión de contraseñas, añade.
Las herramientas de administración de contraseñas reducen la carga del servicio de asistencia -el personal y el costo- proporcionando una capacidad de auto servicio de restablecimiento para los usuarios que han olvidado su versión de "ábrete sésamo", incluso si han sido excluidos de la aplicación, sistema o sitio web que al que están tratando de entrar. Además, las herramientas de administración de contraseñas aceleran el acceso a los recursos para los usuarios que han olvidado sus contraseñas.
Con los costos relacionados a los servicios de ayuda que van desde tres a 18 dólares por solicitud, Kreizman señala que es fácil entender por qué la reducción de las solicitudes de restablecimiento de contraseñas es un factor clave para la adopción de las herramientas de gestión de contraseñas.
Pero las herramientas de administración de contraseñas también tienen otros beneficios. Por ejemplo, pueden agilizar el proceso de cambio sincronizando el acceso a través de sistemas múltiples, y pueden ayudar a que las empresas fortalezcan y hagan cumplir sus políticas de contraseñas.
Casos de Uso
En los últimos doce o más años, desde su introducción, las herramientas de administración de contraseñas se han convertido en las grapas de la empresa.
En Partners HealthCare System, por ejemplo, la herramienta PasswordCourier de Courion ha ayudado con la gestión de contraseñas desde el año 2007, señala María Buonanno, directora de servicios de apoyo en el proveedor de atención médica. En concreto, comenta, Partners usa la herramienta para administrar las contraseñas de más de 80 mil cuentas de Active Directory de Microsoft, y VPN autenticada SecurID de RSA. "Necesitábamos una herramienta para gestionar todas las contraseñas; ya que, obviamente, no podíamos hacer eso a través de Windows nativo", indica Buonanno.
"Mientras que algunas aplicaciones tienen sus propias tiendas de contraseñas, cualquier cosa que utiliza Active Directory para la autenticación tiene la ventaja de tener PasswordCourier para la gestión de contraseñas. Creemos que es importante hacer esto en la puerta principal, y luego a través de políticas y mejores prácticas de gestión de contraseñas para todos los departamentos que son dueños de sus propias aplicaciones", añade.
En Flagler College en St. Augustine, Florida, el caso de uso de la administración de contraseñas es más limitado, pero no tiene un impacto menor.
"Necesitábamos una herramienta con la inteligencia suficiente como para que cuando cambiáramos una contraseña de administración en un servidor o sistema, fuera capaz de buscar los servicios dependientes en la red y actualizar sus credenciales. De lo contrario los servicios dejaban de funcionar, y eso no es divertido", señala Brendan Hourihan , director de los servicios de soporte de redes y escritorio en Flagler.
Utilizando Password Manager Pro de ManageEngine, Hourihan indica que ahora puede cambiar las contraseñas administrativas para 50 o más servidores de la universidad con mayor facilidad y confianza, por no hablar de una mayor frecuencia.
"Hemos sido renuentes a cambiar las contraseñas antes de tener esta herramienta -esa es la verdad-. Porque nunca sabíamos lo que estaba relacionado entre sí hasta que algo se rompía. Y eso a veces tomaba días para ser descubierto", señala. "Ahora podemos cambiar las contraseñas cada 90 días o cada vez que necesitamos, y usamos Password Manager Pro para descubrir y actualizar las credenciales correspondientes".
Evaluando las herramientas
PasswordCourier de Courion y Password Manager Pro de ManageEngine, son dos de las muchas herramientas de administración de contraseñas listas para su uso empresarial. Otras incluyen Password Station y Password Bouncer de Avatier, ID Password Manager de Hitachi ID Systems y Pasword Manager de Omada.
Al evaluar las herramientas de gestión de contraseñas, Kreizman aconseja a las empresas que consideren las siguientes características:
* La posibilidad de restablecer las contraseñas en todos los sistemas que utiliza. Esto a menudo, pero no siempre, significa Active Directory solo o en combinación con otros sistemas.
* La posibilidad de sincronizar las contraseñas a través de múltiples sistemas. La mayoría de las herramientas sincronizan un depósito principal (comúnmente Avtive Directory), pero algunas permiten la iniciación desde otros sistemas de destino. En este último caso, un usuario de AS/400 de IBM o de mainframe puede ser capaz de restablecer una contraseña y propagar el cambio desde ahí, en lugar de tener que iniciar la sincronización a través de Active Directory.
* La disponibilidad de una capacidad de restablecimiento de auto-servicio, mayormente a través de un navegador o desde las ventanas de inicio de sesión en la interfase.
* La disponibilidad de una interfase interactiva de respuesta de voz, si quiere ser capaz de usarla como una opción de restablecimiento de auto-servicio.
* El uso de un mecanismo de desafío-respuesta que el usuario debe completar antes de acceder a la función de restablecimiento de auto-servicio. Las preguntas deben ayudar a que los usuarios recuerden sus contraseñas, pero ser lo suficientemente fuertes para hacer que el descubrimiento sea difícil para un atacante.
Kreizman señala que las empresas también pueden considerar si una herramienta proporciona una interfase de servicio de asistencia para la apertura, cierre y seguimiento de incidentes, y si se integra con los más avanzados métodos de autenticación, como RSA SecurID, que Partners usa junto con PasswordCourier, o biometría de voz.
Aunque las herramientas independientes de gestión de contraseñas pueden demostrar su valor rápidamente, han madurado hasta un punto en que ya no se venden por su cuenta. Generalmente, están integradas en suites más grandes de acceso y gestión de identidades, tales como Access Control de CA, Privileged Identity Management de Cyber-Ark Software, e Identity Manager de Novell.
"Siempre habrá gente que pregunte acerca de tan sólo la gestión de contraseñas, herramientas y políticas; pero más y más gente se preguntan sobre eso como parte de la gestión de identidades y acceso", comenta Andras Cser, analista principal de Forrester Research.
Kreizman está de acuerdo. "Recibimos llamadas preguntando solo por herramientas de administración de contraseñas de forma consistente durante todo el año, pero algo así como diez veces menos que las que abordan temas como Single Sign-On [SSO] en la empresa", señala.
El supuesto, en muchos casos, es que la administración de contraseñas es parte de una implementación de SSO en la empresa. "Incluso si tiene un único inicio de sesión a un conjunto de sistemas de destino, todavía necesita una herramienta de restablecimiento de contraseña que le deje entrar", comenta Kreizman.
"En términos de administración de contraseñas, la conclusión es que pensamos en términos de gestión de identidades y no solo en las contraseñas", señala David Sheidlower, CISO en Health Quest, un sistema de salud.
Por ello, Health Quest utiliza Identity Manager de Novell para crear, modificar y desactivar las credenciales de aproximadamente 6.500 usuarios que acceden a una variedad de sistemas. "Nosotros usamos la gestión de la identidad para nuestro entorno Windows - Active Directory, los registros médicos electrónicos, un portal de los médicos, e incluso para nuestro sistema de tarjetas físicas", agrega Sheidlower, señalando que los empleados utilizan las placas no solo para el acceso al edificio físico, sino también para conectarse a estaciones de trabajo compartidas. Deslizan sus tarjetas, inician a su vez inicia una sesión SSO de Novell SecureLogin.
"Con SSO, y los gestores de identificación en general, todas las contraseñas bajo la gestión de identidades se sincronizan. Así que cuando un usuario cambia una contraseña en un sistema, los cambios se hacen en todos los sistemas", señala Sheidlower.
Para las empresas que se aventuran en el mundo de la entrega de software-como-servicio (SaaS), la búsqueda de una herramienta clave de gestión puede resultar un poco complicada, señala Cser.
"La sincronización de contraseñas o el envío de contraseñas para aplicaciones SaaS puede ser difícil, por lo que estamos viendo cada vez más aplicaciones SaaS que son capaces de utilizar los controles de acceso federado o SAML", comenta, refiriéndose al lenguaje estándar Security Assertion Markup, basado en XML, para el intercambio de datos de autenticación entre la identidad y los proveedores de servicios.
"Por otra parte", agrega Cser, "estamos usando un portal de identidad como Symplified Ping Identity, o Conformity [ahora IronStratus], o el uso de AD FS [Active Directory Federation Services], que soporta SAML".
Pero la forma más fácil y económica de proporcionar la gestión de contraseñas en un entorno SaaS, es utilizar una aplicación que pueda tomar las contraseñas desde el depósito de Active Directory en las instalaciones de la empresa, señala. Si eso no es posible por razones de seguridad u otros asuntos, entonces se recomienda que las empresas utilicen AD FS o SAML. Si ninguna de estas opciones funciona, entonces considere uno de los proveedores de portales de identidad, agrega Cser.
Esta última opción era la más factible para Geezeo, comenta James Elwood, vicepresidente de tecnología de la compañía, que ofrece soluciones de banca en línea para bancos y cooperativas de crédito.
Geezo integró Ping Internet SSO, de Ping, con un servicio de gestión financiera personal que vende a los bancos y cooperativas de crédito. Luego estas organizaciones integraron este servicio con sus herramientas de cliente de banca en línea, señala Elwood.
"Teníamos que encontrar una manera sencilla para que nuestros clientes bancarios tengan SSO habilitada y conexión [con personal de gestión financiera], que habíamos desplegado en Amazon [Elastic Compute Cloud]", añade.
Sin embargo, Geezeo estaba preocupado de que fuera imposible construir un sistema de cosecha propia que satisfaga todas sus necesidades, señala Elwood.
"Ahí fue cuando nos decidimos a encontrar una solución existente de gestión de contraseñas o una solución SSO que fuera lo suficientemente flexible para integrarse con las diferentes infraestructuras de nuestros clientes. Ping Identity tiene un enfoque basado en estándares que nos proporciona una mayor flexibilidad", añade.
Con la administración de contraseñas, señala Elwood, "nuestro objetivo era sincronizar las contraseñas a través de plataformas y aplicaciones".
Herramientas y políticas
No importa qué tipo de herramienta de gestión de contraseñas elija una empresa, también debe aplicar políticas inteligentes. Y como una organización no siempre necesita herramientas de administración de contraseñas para hacer cumplir las políticas, la capacidad de hacerlo es a menudo un beneficio adicional de este tipo de implementaciones, señala Ant Allan, vicepresidente de investigación de Gartner.
"Sabemos que algunas aplicaciones no proporcionan una forma de definir la política de contraseñas, y así no hay manera de que una organización haga cumplir las políticas de trabajo en función de cada objetivo para este tipo de aplicaciones. Ahí es donde una herramienta clave de gestión puede tener un beneficio, con los cambios de contraseña gestionados de forma centralizada y las políticas aplicadas a ese nivel antes de que las contraseñas se envíen a los sistemas de destino ", señala.
La regla de oro para las contraseñas, que Allan admite que es un poco simplista, es que deben ser largas y complejas -pero no demasiado.
"La extensión y complejidad de las contraseñas crea lo que los expertos llaman entropía de contraseña, que es una medida de lo difícil que es romper una contraseña a través de un método de formación de grietas. Así que si su objetivo es proporcionar un nivel de protección contra ataques automatizados y de adivinación de contraseñas, debe evitar contraseñas simples que serían fáciles de adivinar para los hackers ", explica.
"Pero una vez que llegue a un cierto nivel de complejidad, ya no está expuesto tanto a este tipo de ataques, pero empieza a tener problemas con los usuarios finales que no son capaces de recordar sus contraseñas, y eso tiene una serie de impactos", señala Allan.
"Aparte de las personas desencantadas con la seguridad, también obtendrá un nivel más alto de peticiones de restablecimiento de contraseñas", que es donde las herramientas de administración de contraseñas con características de auto-servicio son muy útiles, agrega.
Dicho todo esto, Allan sugiere las siguientes pautas para la selección de contraseñas: Las contraseñas no deben contener contenido semántico. En otras palabras, sin palabras, sin frases en lenguaje sencillo, sin nombres, sin identificación del usuario, no hay fechas, no números de teléfono, y así sucesivamente. Las contraseñas deben incluir al menos una minúscula y una letra mayúscula y al menos un número, signo de puntuación u otro carácter especial.
Una práctica efectiva es la llamada sigla, que le pide a los usuarios que construyan las contraseñas con la primera letra de cada palabra de una frase favorita, canción, poema o similar.
"Es realmente una cuestión de encontrar el equilibrio y ser consciente de las limitaciones que tiene dentro de sus sistemas", señala Allan.
"Por ejemplo, las organizaciones que utilizan sistemas mainframe de IBM, se limitan a contraseñas de ocho caracteres, que tienen que ir a través de reglas de complejidad. Sin embargo, dentro de un entorno Windows, donde las contraseñas muy largas están involucradas, podría aplicar longitud, no complejidad", agrega.
La caducidad de la contraseña es otra consideración importante, y es a menudo usada para cumplir con los requisitos reglamentarios o estar de acuerdo con los procedimientos estándar, aunque Allan señala que aquellas no necesariamente han demostrado ser las mejores prácticas. Noventa días parece ser la regla de caducidad aceptada, y que se aplica en Flagler, Healt Quest y Partners.
"Conducir al trabajo, estacionar el auto, cambiar la contraseña - es parte de la vida", señala Buonanno de Partners.
"Con 80 mil usuarios, cada día cerca de mil personas se dan cuenta de que es hora de cambiar sus contraseñas. Así que estamos volteando 80 mil contraseñas cada 90 días", señala.
Sheidlower de Healt Quest tiene una palabra de precaución para hacer frente a los vencimientos de contraseña con SSO. "Es otra pequeña lección que aparece cuando se están sincronizando contraseñas a través de múltiples sistemas", comenta. "Si vamos a dejar que su gestor de identidad o de Active Directory sea el conductor de las contraseñas, y éstas van a caducar cada X días, entonces tiene que asegurarse de que todos los otros sistemas que está administrando no tengan contraseñas que venzan antes de X días, ya que, dependiendo de su configuración, se puede romper el vínculo entre los distintos sistemas", señala Sheidlower.
"Y no querrá una situación con SSO en la que esté tratando de ir a través de múltiples capas y eso afecte a un sistema que tiene una contraseña caduca, y todos los otros sistemas no saben de eso", añade. "Eso va a romper el SSO para el usuario".
Mientras que las herramientas de administración de contraseñas permiten una mayor seguridad, las organizaciones no deben olvidar otro enorme beneficio: la conciencia de seguridad cada vez mayor entre los usuarios, indica Buonanno.
"Al hacer esto", dice ella, "estamos haciendo que nuestros usuarios sientan que son una parte que hace de Partners un entorno informático más seguro".
Beth Schultz, CSO