Desde que tengo uso de razón, la forma más usada de autenticar la identidad de los usuarios es mediante el uso de claves o passwords. Este simple mecanismo consiste en otorgar a cada persona un nombre de usuario (username) y una contraseña (password), los cuales deben de ser introducidos en algún momento dado para que sus dueños puedan acceder al sistema que pretenden utilizar.
Esta forma de validación es globalmente utilizada y prácticamente implementada en todos los sistemas actuales y conocidos, que van desde el acceso a un sistema de control e inventario cualquiera hasta la entrada a una cuenta de correo electrónico.
La desventaja que tiene este sistema es que, la fortaleza que pudiera proveer una buena contraseña es subjetiva a cada persona. Entiéndase por esto, que cada usuario determinará por si solo que tan difícil de adivinar es su clave, lo que por ende dictará que tan seguro esta su usuario, su identidad y roles asociados con el mismo.
Esto da pie a que muchas personas utilicen claves que sean fáciles de recordar y en caso que tengan varios usuarios en diferentes sistemas, es común ver como utilizan la misma clave para todos. El problema con esta realidad es que las personas con malas intensiones, como por ejemplo robo de identidad, saben que hay un porcentaje alto de éxito cuando salen a buscar "clientes" como los antes mencionados.
Por esta razón, noticias como la de millones de cuentas hackeadas a finales del 2013 en facebook, gmail y twitter, y una vez más en yahoo a principios de este 2014 no sorprenden a los especialistas en seguridad ni a los administradores de sistemas.
Por todo lo dicho anteriormente, no solo es importante tomar medidas dentro de la institución, para forzar a los usuarios a utilizar passwords que contengan cierta complejidad y fecha de caducidad. Es igual de imperante la concientización constante sobre la seguridad en general, en la cual se explique que perdemos y cuanto gastamos (todos) si por alguna razón un usuario en particular es comprometido, tanto desde el exterior como desde interior de la organización.
Al final la seguridad no es un departamento. La seguridad somos todos.
Postdata: Puede consultar si sus cuentas han sido violentadas consultando el siguiente site: https://haveibeenpwned.com/