Cinco pasos para el cumplimiento de la política de contraseñas

Los piratas informáticos están utilizando credenciales débiles y robadas de forma significativa para comprometer los entornos críticos de las empresas. Robar el acceso a su entorno utilizando una contraseña conocida para una cuenta de usuario es una forma mucho más fácil de comprometer los sistemas que confiar en otras vulnerabilidades. Por lo tanto, el uso de una buena seguridad de contraseñas y de políticas de contraseñas sólidas es una excelente manera de que las organizaciones refuercen su postura de ciberseguridad.

¿Qué características componen una política de contraseñas eficaz?

Es esencial desarrollar una estructura de informes eficaz para las partes interesadas clave de la empresa, el liderazgo y las entidades externas que muestren el cumplimiento de políticas de seguridad de contraseñas sólidas.

Con los tiempos cambiantes y la evolución de las amenazas a la ciberseguridad, las recomendaciones de mejores prácticas con respecto a las políticas de contraseñas también están cambiando. Hemos tenido años para entender y aprender lo que funciona y lo que no con las políticas de contraseñas. Tomemos nota de las siguientes directrices de mejores prácticas en relación con las políticas de contraseñas eficaces:

  1. Fomentar el uso de frases de contraseña
  2. No descartar la caducidad de las contraseñas
  3. Implementar la protección de la contraseña violada
  4. Utilizar comprobaciones de diccionario de contraseñas
  5. Utilizar políticas de bloqueo de cuentas

1. Fomentar el uso de frases de acceso

Las contraseñas tradicionales suelen ser fácilmente descifrables con las herramientas adecuadas de los hackers, incluso con símbolos y caracteres especiales. Por esta razón, es más importante tener una contraseña fuerte compuesta por muchos caracteres que una contraseña más corta que contenga caracteres especiales. Por ello, las normas de ciberseguridad recomiendan ahora encarecidamente que las organizaciones permitan y animen a los usuarios finales a utilizar frases de contraseña como contraseñas válidas.

Las frases de contraseña ofrecen muchos beneficios sobre las contraseñas tradicionales. Estas ventajas incluyen que son más fáciles de recordar que las contraseñas con caracteres especiales. Son contraseñas mucho más largas y fuertes que pueden ser imprevisibles para los atacantes que esperan comprometer las cuentas. Como ejemplo, observe la siguiente comparación (los bits más grandes equivalen a una contraseña más fuerte)

  1. [email protected]$$w0rd1$ (84 bits)
  2. Is.My.Password (100 bits)

Podría decirse que la segunda contraseña, una frase de contraseña, es mucho más fácil de recordar y escribir, y es una contraseña más fuerte.

2. No tires la caducidad de la contraseña

Las recientes orientaciones de organismos reguladores como el Instituto Nacional de Estándares y Tecnología (NIST) hacen que las organizaciones se planteen desechar las normas de caducidad de las contraseñas. Pero es posible que no quieras hacerlo todavía.

La caducidad de las contraseñas o el envejecimiento de las mismas obliga a cambiarlas una vez que alcanzan una determinada edad.

La reciente guía del NIST anima a las organizaciones a no forzar a los usuarios finales a cambiar sus contraseñas después de un período de tiempo establecido:

RECOMENDADO  Comparitech descubre que 1 de cada 5 apps de Google Play para niños viola la Ley de Protección de la Privacidad Infantil en Internet

«Los verificadores NO DEBERÍAN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres o prohibir caracteres repetidos consecutivamente) para los secretos memorizados. Los verificadores NO DEBERÍAN requerir que los secretos memorizados sean cambiados arbitrariamente (por ejemplo, periódicamente). Sin embargo, los verificadores DEBERÍAN forzar un cambio si hay evidencia de compromiso del autentificador».

NIST explica la guía actualizada de esta manera:

«Los usuarios tienden a elegir secretos memorizados más débiles cuando saben que tendrán que cambiarlos en un futuro próximo. Cuando esos cambios ocurren, suelen seleccionar un secreto que es similar a su antiguo secreto memorizado aplicando un conjunto de transformaciones comunes como el aumento de un número en la contraseña. Esta práctica proporciona una falsa sensación de seguridad si alguno de los secretos anteriores se ha visto comprometido, ya que los atacantes pueden aplicar estas mismas transformaciones comunes.»

Las recomendaciones específicas para el Reino Unido pueden verse esbozadas por el Centro Nacional de Ciberseguridad y promueven gran parte de las mismas políticas de contraseñas estándar que el NIST. Puede leer más sobre la configuración de la lista de contraseñas del NCSC en AD en esta útil publicación del blog.

Sin embargo, el problema de esta recomendación es que asume que se puede detectar con seguridad cuando una cuenta de su red se ha visto comprometida, cuando los datos de la industria muestran que esa no es la realidad. Según IBM, pueden pasar 280 días hasta que se descubra que se ha producido una infracción. Muchas organizaciones ven la caducidad de las contraseñas como una forma de mitigar esto. No importa las organizaciones que están tratando de cumplir con PCI u otras normas que todavía lo requieren.

El problema de la caducidad es que un exceso de la misma puede hacer que los usuarios creen contraseñas débiles que sigan patrones predecibles. Sin embargo, fomentar el uso de frases de contraseña con características técnicas como el envejecimiento de la contraseña basado en la longitud, que recompensa a los usuarios con más tiempo antes de la caducidad cuanto más tiempo establezcan su contraseña, puede ayudar a las organizaciones a crear mejores contraseñas y usuarios más felices.

3. Implementar la protección de contraseñas violadas

Si su organización aún decide eliminar la caducidad de las contraseñas, es imperativo recordar la segunda parte de la recomendación del NIST, a menos que haya evidencia de que el autentificador está comprometido. El NIST sigue recomendando forzar un cambio si la contraseña se encuentra en las listas de contraseñas violadas conocidas, por lo que el uso de un servicio de comprobación de contraseñas violadas es una parte fundamental del cumplimiento, tanto si se elimina la caducidad como si no. Para descubrir que una contraseña ha sido violada o que un usuario está intentando utilizar una contraseña violada, las organizaciones deben implementar la protección de contraseñas violadas.

Habilitar la protección de contraseñas violadas en las cuentas ayuda a proteger contra las grandes bases de datos de contraseñas que los hackers están utilizando en los ataques de pulverización de contraseñas y otros ataques basados en diccionarios.

4. Utilizar comprobaciones de diccionario de contraseñas

De forma similar a la protección de contraseñas violadas que debería utilizarse con las políticas de contraseñas, las comprobaciones de diccionario de contraseñas proporcionan una forma de comprobar las contraseñas con contraseñas de uso muy común que pueden satisfacer los requisitos de complejidad, pero que son extremadamente débiles.

RECOMENDADO  Reinventar la gestión de activos para los profesionales de la ciberseguridad

Las comprobaciones del diccionario de contraseñas también permiten a las organizaciones crear sus propios diccionarios personalizados para evitar que los usuarios formen contraseñas que contengan el nombre de la empresa u otras características fáciles de adivinar.

5. Utilizar políticas de bloqueo de cuentas

El NIST y otras autoridades de ciberseguridad siguen recomendando utilizar un medio para limitar el número de intentos fallidos de autenticación con una cuenta de usuario específica:

«Los verificadores DEBERÁN implementar un mecanismo de limitación de la tasa que limite efectivamente el número de intentos fallidos de autenticación que se pueden hacer en la cuenta del suscriptor como se describe en la Sección 5.2.2.»

Implementación de políticas de mejores prácticas de contraseñas y auditoría

Al utilizar las capacidades nativas de la política de contraseñas de Active Directory, las empresas carecen de las herramientas integradas necesarias para implementar las mejores prácticas de política de contraseñas recomendadas, como la protección de contraseñas violadas. Entonces, ¿cómo pueden las empresas implementar fácilmente este tipo de funciones y auditar sus políticas de contraseñas según las recomendaciones de políticas de contraseñas estándar del sector?

Las organizaciones pueden lograr ambas capacidades utilizando una herramienta gratuita de sólo lectura en su entorno. Además, Specops Password Policy, la opción de pago, proporciona una forma sólida para que las organizaciones amplíen las funciones integradas proporcionadas con la política de contraseñas nativa de Active Directory con lo siguiente:

  • Listas de diccionario personalizadas para no permitir palabras o variaciones de palabras comunes a su organización
  • Evite el uso de contraseñas violadas con Breached Password Protection
  • Encuentre y elimine las contraseñas filtradas
  • Mensajería personalizable e informativa para el usuario final en caso de cambio fallido de contraseña, proporcionada en tiempo real
  • Envejecimiento de la contraseña basado en la longitud con notificaciones de correo electrónico personalizables
  • Bloquee los nombres de usuario, los nombres para mostrar, las palabras específicas, los caracteres consecutivos, las contraseñas incrementales y la reutilización de una parte de la contraseña actual
  • Orientación granular basada en GPO para cualquier nivel de GPO, ordenador, usuario o población de grupos
  • Soporte de frases de paso
  • Soporta más de 25 idiomas diferentes, incluyendo inglés, francés, alemán, español, ruso y chino
  • Utilice expresiones regulares para personalizar aún más los requisitos

Specops Password Auditor permite fácilmente a los administradores de TI auditar las políticas de contraseñas existentes en comparación con las principales políticas de contraseñas estándar del sector y ver cómo están sus políticas de contraseñas. Además, permite la creación de informes ejecutivos profesionales que pueden entregarse a los auditores, a las partes interesadas del negocio o a otros líderes empresariales.

Como se muestra, Specops Password Auditor proporciona informes detallados que analizan las políticas de contraseñas configuradas frente a las recomendaciones estándar del sector.

  Análisis de las políticas de contraseñas de ADDS con Specops Password Auditor
Analizando las políticas de contraseñas de ADDS con Specops Password Auditor

El informe de resumen ejecutivo proporcionado por Specops Password Auditor genera un informe profesional y detallado que puede entregarse tanto a los auditores como a los líderes empresariales.

Creación de un informe de resumen ejecutivo con Specops Password Auditor
Creación de un informe de resumen ejecutivo con Specops Password Auditor

Finalizando

Las políticas de contraseñas recomendadas han evolucionado a lo largo de los últimos años, con los estándares de mejores prácticas de la industria evolucionando para cumplir con el panorama actual de amenazas a la ciberseguridad. Por lo tanto, las empresas deben evaluar sus políticas de contraseñas actuales y ver cómo se comparan con las recomendaciones de mejores prácticas actuales.

RECOMENDADO  Clovity se asocia con Dispersive Networks para asegurar el despliegue de dispositivos IoT a gran escala para iniciativas empresariales y de ciudades inteligentes.

Tanto Specops Password Policy como Specops Password Auditor ayudan a las empresas a implementar políticas de contraseñas sólidas, modernas y relevantes, incluyendo la protección de contraseñas violadas, junto con una sólida auditoría del entorno. Además, estas herramientas ayudan a proporcionar las soluciones necesarias para implementar y auditar los entornos para los problemas de seguridad relacionados con las contraseñas o las configuraciones de las políticas de contraseñas.

Pruébelo usted mismo ejecutando una auditoría de sólo lectura desde Specops Password Auditor, gratis.

Contribuido por el experto en ciberseguridad Brandon Lee. Brandon lleva más de 20 años en el sector, es un prolífico bloguero que se centra en redes, virtualización, almacenamiento, seguridad & nube, y contribuye a la comunidad a través de varias entradas de blog y documentación técnica principalmente en Virtualizationhowto.com.