Prácticas recomendadas de la política de contraseñas para sitios web de comercio electrónico

24 de diciembre de 2020

Introducción

Lo ideal es que las contraseñas sean largas, complejas y únicas. Al mismo tiempo, las contraseñas deben ser fáciles de recordar y el cliente debe crear una nueva contraseña para cada sitio web o servicio en el que se registre.

Puede ser un desafío encontrar el equilibrio adecuado y aplicar los requisitos de contraseña sin afectar negativamente la experiencia del cliente. Una política de contraseñas demasiado estricta puede molestar a los clientes y aumentar significativamente las tasas de abandono. Una política de contraseñas indulgente es un riesgo de seguridad.

Obtenga más información sobre las mejores prácticas de contraseña para sitios web de comercio electrónico y mantener a sus clientes seguros y satisfechos.

Cliente frustrado por complicados requisitos de contraseña.

¿Por qué los sitios web de comercio electrónico necesitan una política de contraseñas?

Los seres humanos no pueden memorizar cadenas de caracteres largas y complejas. Las contraseñas comunes y cortas son fáciles de adivinar usando ataques de fuerza bruta y algoritmos basados ​​en diccionarios.

A pesar de defectos bien documentados, el proceso de autenticación en la mayoría de los sitios web depende en gran medida de las contraseñas de los clientes debido a varios factores:

  • Las contraseñas son gratuitas.
  • Las empresas no necesitan invertir en sistemas de autenticación sofisticados.
  • Los clientes tienen una comprensión intuitiva de cómo funcionan las contraseñas.
  • Los sistemas de autenticación de contraseña son fáciles de escalar independientemente del número de usuarios.

Empresas de comercio electrónico necesitan establecer políticas que eviten contraseñas inseguras y motiven a sus clientes a crear credenciales sólidas. Las mejores prácticas de la política integral de contraseñas incluyen:

  1. Un requisito de longitud mínima de contraseña.
  2. Bloqueo de cuenta después de varios intentos de inicio de sesión incorrectos.
  3. Reglas de complejidad de contraseñas razonables.
  4. Listas de bloqueo que impiden el uso de términos de diccionario, nombres de usuario, nombres de servicios de sitios web y contraseñas comprometidas.
  5. Un medidor de seguridad de contraseña en pantalla.
  6. No insistir en cambios periódicos de contraseña.

La aplicación de estos requisitos aumenta la seguridad de la contraseña y tiene un impacto mínimo en la satisfacción del cliente.

Las mejores políticas de contraseñas de comercio electrónico

La imposición de contraseñas complejas para los servicios que no contienen información de identificación personal puede ser una fuente de frustración para los clientes.

Antes de presentar las políticas sugeridas, determine el nivel de amenaza para su modelo de negocio y el tipo de servicio que brinda. Por ejemplo, los clientes están dispuestos a hacer un esfuerzo adicional para crear contraseñas seguras para servicios esenciales y sitios web que contienen información personal confidencial.

1. Longitud mínima de la contraseña

Las contraseñas más largas son más difíciles de adivinar. Exija a sus clientes que utilicen un mínimo de 8 caracteres al elegir sus contraseñas.

Aconseje a los clientes que creen contraseñas largas e incluso que utilicen frases de contraseña completas si es posible. Permita el uso de caracteres especiales y espacios.

Las contraseñas particularmente largas (medidas en MB) pueden afectar el rendimiento de los sistemas subyacentes y sobrecargar el proceso de hash de contraseñas. Debe implementar una restricción razonable para la longitud de la contraseña.

A longitud máxima de 64 caracteres permite a los clientes crear contraseñas excepcionalmente seguras.

2. Bloqueos y retrasos de cuentas

Contrarresta los ataques de fuerza bruta bloqueando cuentas después de varios intentos fallidos de inicio de sesión. La limitación debería permitir a los usuarios legítimos cometer errores, pero no permitir demasiados intentos que puedan resultar en que un atacante adivine la contraseña. El número permitido de intentos fallidos no debe exceder los 10 inicios de sesión fallidos.

La cantidad de intentos fallidos puede ser menor si aplica sistemas de verificación adicionales como:

  • Configurar CAPTCHA antes de la autenticación.
  • Configurar períodos de tiempo de espera cada vez mayores entre intentos fallidos de inicio de sesión.
  • Incluir en la lista blanca las direcciones IP de los clientes.
  • Usar otras herramientas de autenticación como la geolocalización, los metadatos del navegador y otras herramientas de análisis para autenticar a los clientes.
  • Evite el uso de preguntas secretas que ayuden a los clientes a recordar sus contraseñas.
Ejemplo de CAPTCHA básico.

Asegúrese de que su sistema ignore los intentos fallidos anteriores una vez que se hayan verificado correctamente las credenciales y la dirección IP del cliente.

Nota: En caso de que necesite bloquear ciertas IP en su tienda Magento, consulte nuestro tutorial Cómo bloquear una dirección IP en Magento.

3. Bloquear palabras de diccionario, nombres de usuario y contraseñas comprometidas

Mantenga listas de bloqueo de contraseñas inaceptables y actualice periódicamente sus índices.

Muchos ciberataques intentan adivinar las contraseñas utilizando algoritmos basados ​​en diccionarios. Es fundamental evitar que los clientes utilicen palabras que se encuentran en diccionarios como contraseñas.

Nota: Implementar una contraseña mínima de 8 caracteres significa que solo necesita incluir palabras del diccionario que cumplan con ese criterio.

Prohibir estrictamente el uso de nombres de usuario y contraseñas que se hayan visto comprometidos en violaciones de seguridad conocidas y contraseñas derivadas de los servicios del sitio web. Existen numerosas bases de datos en línea como He sido promovido que pueden ayudar a mantener registros actualizados.

El simple hecho de bloquear determinadas palabras y contraseñas no es suficiente. Asegúrese de que el cliente siempre reciba comentarios en pantalla sobre por qué su elección no es aceptable e instrucciones sobre cómo crear una contraseña segura.

4. Complejidad de la contraseña

Obligar a los consumidores a incluir letras mayúsculas, caracteres especiales y números en sus contraseñas no ha producido los resultados esperados. Las contraseñas complejas con diferentes tipos de caracteres son más seguras pero más difíciles de recordar y usar.

Los clientes se exasperan regularmente cuando los servicios en línea rechazan sus opciones de contraseña. Como resultado, los usuarios han recurrido a patrones predecibles. En lugar de "iloveyou", el usuario puede ingresar "Iloveyou1!" y cree una contraseña formalmente aceptable.

Los atacantes apuntan a secuencias de caracteres de uso frecuente y desaparecido variaciones de contraseña que hacen que este requisito sea altamente susceptible a ataques.

Insistir en contraseñas complejas también ha llevado a los clientes a anotar o almacenar contraseñas de forma insegura, lo que reduce drásticamente su valor.

Para mejorar la complejidad de la contraseña, los propietarios de sitios web deben Anime a los clientes a utilizar administradores de contraseñas. Algunos de los administradores de contraseñas más destacados incluyen LastPass, KeePass, 1Password y Dashlane.

Imágenes de cuadros de mando populares de Password Manager.

Permita que los clientes peguen contraseñas para agilizar el uso de administradores de contraseñas y frases de contraseña.

5. Utilice un medidor de fuerza de contraseña en pantalla

Las páginas de registro inicial y actualización de contraseña deben contener medidores de seguridad de contraseña en pantalla. Los verificadores de contraseñas preventivas evalúan el contenido y los cambios en el campo de contraseña y calculan la seguridad de la contraseña elegida.

El medidor de fuerza debe explicar de manera significativa por qué ciertas contraseñas no son aceptables y brindar orientación sobre cómo crear contraseñas seguras.

Un buen ejemplo de un medidor de fuerza de contraseña.

Este enfoque proactivo también desalienta a los clientes de modificar ligeramente las contraseñas si se rechaza su contraseña inicial débil. La meta es motivar a los clientes a de buena gana crear contraseñas robustas.

Los clientes olvidan las contraseñas todo el tiempo. No insista en caracteres ocultos (puntos o asteriscos). Permita que los clientes vean su contraseña mientras escriben. Para agilizar la creación de contraseñas en dispositivos móviles, muestre cada carácter durante un breve período de tiempo para que los clientes puedan verificar su entrada.

6. Cambios obligatorios de contraseña

Ha sido una práctica estándar exigir cambios de contraseña en períodos predefinidos, por ejemplo, cada 90 o 180 días. No hay evidencia concluyente de que este proceso aumente significativamente la seguridad de las contraseñas.

Cuando se les solicita, los usuarios tienden a cambiar sus contraseñas solo marginalmente y usan patrones similares. También aumenta la presión sobre los usuarios al obligarlos a idear y memorizar muchas contraseñas. Un enfoque mucho mejor es supervise las contraseñas comprometidas y solicite a los clientes que las cambien solo si hay un problema conocido con su contraseña actual.

Consideraciones adicionales sobre la política de contraseñas

Insistir en contraseñas intrincadas y complejas frustra a los clientes y es contraproducente. Los usuarios encontrarán formas de evitar restricciones y comprometer la seguridad de la contraseña en el proceso.

Las técnicas y herramientas más avanzadas que eliminan parte de la presión del usuario final son una mejor opción. Las listas de bloqueo, el almacenamiento seguro con hash, la limitación de la tasa de inicio de sesión, la educación del cliente y las herramientas de autenticación avanzada están disponibles incluso para los propietarios de pequeñas empresas.

Tenga en cuenta que los ataques asociados con las contraseñas no solo se ven afectados por la complejidad y la longitud de las contraseñas. La ingeniería social, el phishing y las pulsaciones de teclas de registro son técnicas de ataque que funcionan independientemente de la seguridad de la contraseña.

Es necesario combinar la protección por contraseña con otros métodos sofisticados, como autenticación de dos factores, autenticación basada en riesgos, cheques basados ​​en direccionesy análisis de comportamiento.

Conclusión

Utilice las políticas descritas en este artículo para mejorar la seguridad de la contraseña y aumentar la seguridad general en su sitio web de comercio electrónico.

Ayudar a los clientes a comprender por qué necesitan contraseñas seguras y cómo crear una es un componente esencial de una política integral de contraseñas.

Recomendamos consultar nuestro artículo sobre seguridad del sitio web de comercio electrónico para obtener más información sobre cómo proteger su negocio en línea.

Compartir en Etiqueta LinkedIn
Procesamiento de tarjetas de débito: ¿Cómo funciona?
Vladímir Kaplarevic
25 de mayo de 2023
Declive suave versus Declive fuerte: ¿Cuál es la diferencia?
Anastazija Spasojevic
25 de mayo de 2023
PCI DSS 4.0: cambios y cómo cumplir
Anastazija Spasojevic
25 de mayo de 2023
Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial