Les contrasenyes febles o reutilitzades són la causa del 81% de les bretxes de seguretat relacionades amb el hackeo, segons el Verizon Data Breach Investigations Report. Malgrat això, en moltes PIMEs espanyoles és habitual trobar contrasenyes com “empresa2024”, la mateixa contrasenya en tots els serveis, o credencials compartides entre diversos empleats.
El problema no és que els empleats siguin descuidats per naturalesa. El problema és que la gestió de contrasenyes sense eines adequades és humanament impossible: un treballador mitjà gestiona més de 90 comptes online. La solució és implementar un gestor de contrasenyes corporatiu.
Per què les contrasenyes tradicionals no funcionen
El problema de la complexitat vs. la memorabilitat
El NIST (National Institute of Standards and Technology) va publicar el 2017 noves directrius que van canviar completament el paradigma:
- Longitud sobre complexitat: Una frase de contrasenya llarga és més segura que una contrasenya curta complexa.
- No obligar a canvis periòdics: Forçar canvis freqüents genera contrasenyes més febles.
- Verificar contra llistes de contrasenyes conegudes: Rebutjar automàticament les contrasenyes que apareixen en bases de dades de bretxes conegudes.
La reutilització: el major risc
Quan una empresa pateix una bretxa de dades i les contrasenyes queden exposades, els atacants les proven automàticament en centenars de serveis diferents (atac de “credential stuffing”). A Espanya, segons l’INCIBE, més del 70% dels usuaris reutilitzen contrasenyes entre serveis personals i professionals.
Política de contrasenyes per a PIMEs
| Tipus de servei | Longitud mínima | MFA obligatori |
|---|---|---|
| Correu corporatiu | 14 caràcters | Sí |
| VPN i accés remot | 16 caràcters | Sí |
| Banca i pagaments | 16 caràcters | Sí |
| ERP / CRM | 14 caràcters | Sí (recomanat) |
| Xarxes socials corporatives | 14 caràcters | Sí |
Normes bàsiques que tot empleat ha de conèixer:
- Mai compartir contrasenyes amb companys. El gestor de contrasenyes permet compartir credencials de forma segura.
- Mai fer servir la mateixa contrasenya en serveis personals i professionals.
- Mai escriure contrasenyes en paper o documents de text sense xifrar.
- Notificar al responsable d’IT immediatament si sospites que una contrasenya ha estat compromesa.
Gestors de contrasenyes per a equips: comparativa
| Gestor | Pla empresa (preu/usuari/mes) | Característiques destacades | Hosting |
|---|---|---|---|
| Bitwarden Teams | 3€ | Open source, auditable, molt econòmic | Núvol o self-hosted |
| 1Password Teams | 4,99€ | Molt bona UX, Watchtower (alertes de bretxes) | Núvol |
| Dashlane Business | 8€ | VPN inclosa, Dark Web Monitoring | Núvol |
| Keeper Business | 4,5€ | Conformitat RGPD, BreachWatch | Núvol |
| Passbolt | Gratuït (self-hosted) / 4€ (núvol) | Open source, dissenyat per a equips tècnics | Self-hosted o núvol |
La nostra recomanació per a PIMEs: Bitwarden Teams és l’opció amb millor relació qualitat-preu. És open source, ofereix totes les funcionalitats empresarials necessàries i es pot instal·lar en servidors propis.
Com implantar un gestor de contrasenyes a la teva empresa en 5 passos
Pas 1: Tria i implementa l’eina (dia 1-2)
- Crea un compte d’organització.
- Configura les polítiques: longitud mínima de contrasenya, temps de bloqueig automàtic, MFA obligatori.
Pas 2: Forma l’equip (dia 3-5)
- Sessió de formació de 30-45 minuts amb tots els empleats.
- Explica com instal·lar l’extensió del navegador i l’aplicació mòbil.
Pas 3: Migració gradual (setmana 2-4)
- Demana als empleats que vagin afegint les seves contrasenyes actuals al gestor a mesura que hi accedeixen.
Pas 4: Organització per carpetes i equips (mes 1)
- Crea col·leccions per departament o funció.
- Comparteix les credencials compartides a través del gestor.
- Elimina els fulls de càlcul i documents amb contrasenyes.
Pas 5: Auditoria i neteja contínua (mensual)
- Usa la funcionalitat d’auditoria del gestor per identificar contrasenyes febles, reutilitzades o que apareixen en bretxes conegudes.
Autenticació multifactor (MFA): la segona línia de defensa
El MFA afegeix un segon factor que l’atacant també necessita conèixer o posseir.
Tipus de segon factor, de menor a major seguretat
| Tipus de MFA | Seguretat | Cost | Exemple |
|---|---|---|---|
| SMS / trucada de veu | Baixa (vulnerable a SIM swapping) | Gratuït | Codi de 6 dígits per SMS |
| App d’autenticació (TOTP) | Alta | Gratuït | Google Authenticator, Authy, Microsoft Authenticator |
| Push notification | Alta | Inclòs en apps | Duo Security push |
| Clau de seguretat física (FIDO2) | Molt alta | 25-50€/dispositiu | YubiKey, Google Titan |
Per a la majoria de PIMEs, les apps d’autenticació (TOTP) són l’equilibri perfecte entre seguretat i usabilitat.
On activar MFA com a prioritat absoluta
- Correu electrònic corporatiu
- Accés a la VPN
- Gestor de contrasenyes
- Banca online i eines de pagament
- Plataformes d’administració de sistemes
- ERP i CRM
Què fer quan un empleat abandona l’empresa
- Revoca el seu accés al gestor de contrasenyes immediatament.
- Canvia totes les contrasenyes compartides a les quals tenia accés.
- Desactiva el seu compte de correu.
- Revoca les seves sessions actives en tots els serveis.
- Recupera o esborra remotament qualsevol dispositiu corporatiu que tingui.
Tenir un checklist d’offboarding documentat és tan important com el propi gestor de contrasenyes.
Conclusió
Implementar un gestor de contrasenyes corporatiu i el MFA en els serveis crítics és una de les inversions amb major retorn en ciberseguretat per a una PIME. El cost és mínim (3-5€/usuari/mes) i l’impacte en la reducció del risc és enorme.
Si només pots fer una cosa avui: activa el MFA al correu corporatiu de tots els teus empleats.
Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions específiques a la vostra empresa.