Muchas organizaciones requieren el uso de métodos de autenticación robusta, especialmente aquellas que incluyen transacciones en línea que engloban servicios de pago. Existen varias definiciones de autenticación robusta. Algunos autores se refieren a ella como método de autenticación con la combinación de diversos mecanismos que requieren el uso de soluciones de dos o más de las tres categorías de factores (conocimiento, posesión e inherencia), tal como se ha mencionado en la sección 1.3. Otros autores ( A. J. Menezes , P. C. van Oorschot y S. A. Vanstone ) consideran en [11] que los mecanismos de autenticación robusta requieren un protocolo de desafío- respuesta criptográfico ... En cualquier caso, un protocolo de autenticación robusto no se puede lograr con la transmisión de contraseñas .
Es importante tener en cuenta que la fiabilidad de la autenticación depende no sólo del número de factores implicados, sino también de la forma en que se implementan. En cada categoría, las decisiones tomadas por las reglas de autenticación afectan en gran medida a la seguridad de cada factor. El uso de reglas de contraseña pobres (o incluso la ausencia de estas reglas), por ejemplo, pueden dar lugar a la creación de contraseñas como “secreto”, “Juan”, o “invitado”, lo que contradice por completo el valor de usar una contraseña. Las mejores prácticas incluyen el uso de contraseñas inherentemente fuertes que se actualizan periódicamente. El hecho que en algunas ocasiones haya una cierta laxitud en las normas e implementaciones de seguridad genera una mayor debilidad del sistema; alternativamente, normas más estrictas pueden dar una mayor seguridad en cada uno de los factores, y por lo tanto, una mayor seguridad global en los sistemas de autenticación de múltiples factores.
En el caso de la utilización de contraseñas, es esencial la creación de una política de contraseñas calidad para evitar que se pueda adivinar. La aparición de herramientas informáticas para “crackear” contraseñas ha hecho que sea mucho más fácil para los atacantes poder “adivinarlas”. Existen numerosas herramientas de descubrimiento de contraseñas disponibles que cualquier persona puede utilizar. Desafortunadamente el usuario medio tiende más a que la contraseña sea fácil de recordar que difícil de adivinar.
El “crackeo” de contraseñas es un proceso que consiste en averiguar contraseñas con el fin que un usuario no autorizado o atacante pueda conseguir acceder a un sistema o cuenta. Las contraseñas pueden ser crackeadas en una variedad de maneras diferentes. El más simple es el uso de una lista de palabras o diccionario para romper la contraseña por fuerza bruta. Estos programas comparan las listas de palabras o combinación de caracteres con la contraseña hasta que encuentran una coincidencia. Por lo tanto, es obvio que las contraseñas no deben ser las palabras del diccionario, nombres propios o palabras extranjeras.
Un administrador de red puede utilizar las herramientas de crackeo de contraseñas para garantizar que los usuarios están utilizando contraseñas seguras, y notificar a los usuarios cuyas contraseñas no son suficientemente seguras. Otra forma en que los intrusos pueden usar para descubrir las contraseñas es a través de la ingeniería social. Muchos usuarios crean contraseñas que contienen información personal y, por lo tanto, pueden ser adivinadas fácilmente si se conoce una mínima cantidad de información sobre ellos. Por lo tanto, las contraseñas no deben contener información personal. Muchos usuarios almacenan las diferentes contraseñas que utilizan en archivos de ordenador. En tal caso, es necesario cifrar estos archivos. De hecho, esta recomendación es útil no sólo para los archivos de contraseñas, sino también para todos los archivos que contienen información crítica.