Las contraseñas de los usuarios finales son uno de los componentes más débiles de sus protocolos de seguridad generales. La mayoría de los usuarios tienden a reutilizar contraseñas en cuentas personales y de trabajo.
También pueden elegir contraseñas relativamente débiles que satisfagan las políticas de contraseñas de la empresa, pero que puedan adivinarse fácilmente o forzarse bruscamente. Sus usuarios también pueden usar sin darse cuenta contraseñas violadas para la contraseña de su cuenta corporativa.
los Instituto Nacional de Estándares y Tecnología (NIST) tiene un marco de seguridad cibernética que ayuda a las organizaciones a abordar las trampas comunes de seguridad cibernética en su entorno, incluidas las contraseñas débiles, reutilizadas y violadas. Esta publicación analizará más de cerca las pautas de contraseñas de NIST y verá cómo puede auditar de manera efectiva sus políticas de contraseñas para garantizar que cumplan con los estándares recomendados por NIST.
Resumen
Directrices y mejores prácticas de contraseñas del NIST
La orientación específica sobre las contraseñas se aborda en el capítulo titulado Verificadores de secretos memorizados. NIST tiene varias recomendaciones con respecto a las contraseñas:
- Las contraseñas no deben ser inferiores a ocho caracteres en longitud
- Se aceptan caracteres ASCII junto con espacios
- Si un proveedor de servicios elige contraseñas al azar, estas deben ser al menos seis caracteres en longitud
- Las contraseñas deben ser comparado con una lista de conocidos de uso común, esperados o comprometidos contraseñas
¿Qué tipos de contraseñas son de uso común, esperadas o comprometidas?
- Previamente contraseñas violadas
- Palabras del diccionario
- Caracteres que son secuenciales o repetitivos
- Palabras específicas del contexto (incluido el nombre de usuario, el nombre comercial, etc.)
NIST también recomienda los siguientes otros mecanismos de seguridad de contraseña, que incluyen:
- Limitación de la tasa de intentos de inicio de sesión fallidos,
- No obligar a los usuarios a cambiar su contraseña después de un número arbitrario de días,
- Forzar un cambio de contraseña si hay evidencia de un compromiso de la contraseña de la cuenta (es decir, contraseña expuesta en una violación),
- Se debe ofrecer orientación a los usuarios sobre los requisitos específicos de la política de contraseñas.
Auditoría de políticas de contraseñas de Active Directory
La mayoría de las organizaciones empresariales de hoy utilizan Microsoft Active Directory como fuente de identidad centralizada y solución de gestión de acceso. Muchos hacen uso de las políticas de contraseña de Active Directory integradas proporcionadas por la política de grupo. Las Políticas de contraseña integradas como parte de las Políticas de cuenta de la política de grupo proporcionan una funcionalidad básica para crear políticas de contraseña para su entorno de Active Directory.
A continuación se muestra un ejemplo de un Política de dominio predeterminada configurado con la configuración predeterminada de la política de contraseñas, que incluye:
- Antigüedad máxima de la contraseña
- Edad mínima de la contraseña
- Longitud mínima de la contraseña
- La clave debe cumplir los requerimientos de complejidad
 |
| Una política de contraseña de política de dominio predeterminada |
Como puede ver en las propiedades de la política de contraseñas, no hay medios integrados para detectar contraseñas violadas o cargue un archivo de lista de contraseñas para propósitos de diccionario personalizado. De acuerdo con las pautas de contraseña recomendadas por NIST, esta política no se alinearía con el estándar NIST.
¿Qué sucede si tiene muchas políticas de contraseñas diferentes con potencialmente muchas configuraciones y configuraciones de contraseñas diferentes? ¿Cómo audita efectivamente sus políticas de contraseñas de Active Directory para ver cómo se ajustan a las recomendaciones de los estándares NIST y otros?
Auditor de contraseñas de Specops: visibilidad del NIST y otros estándares de ciberseguridad
¿Qué pasaría si tuviera una herramienta que le diera visibilidad a todas sus Políticas de contraseñas de Active Directory y cómo se comparan con los estándares líderes de la industria? Specops Password Auditor es una herramienta sólida que no solo le permite tener una visibilidad rápida de las contraseñas peligrosas en su entorno de Active Directory. También le permite auditar rápidamente las políticas de contraseñas existentes contra los principales estándares de ciberseguridad para su cumplimiento.
Como puede ver, la herramienta Specops Password Auditor le permite tener una visibilidad rápida de las contraseñas riesgosas en el entorno de Active Directory de su organización. Éstos incluyen:
- Contraseñas en blanco
- Contraseñas violadas
- Contraseñas idénticas
- Cuentas de administrador
- Cuentas de administrador obsoletas
- Contraseña no requerida
- La contraseña nunca expira
- Contraseñas que caducan
- Contraseñas caducadas
- Políticas de contraseña
- Uso de la política de contraseñas
- Cumplimiento de la política de contraseñas
 |
| Auditor de contraseñas de Specops |
Auditor de contraseñas de Specops Cumplimiento de la política de contraseñas El informe compara la configuración de sus Políticas de contraseñas de Active Directory existentes con los siguientes estándares:
- Investigación de EM
- Microsoft TechNet
- NCSC
- NIST
- PCI
- Administrador de SANS
- Usuarios de SANS
Puede ver rápidamente si sus políticas de contraseñas existentes cumplen con los requisitos recomendados por los diversos estándares de ciberseguridad. Compensa una enorme carga del administrador de seguridad o de TI al realizar auditorías para alinear las políticas de seguridad con diferentes marcos de seguridad cibernética, como NIST. Como puedes ver, el nube.local la política no cumple con NIST.
 |
| Informe de cumplimiento de la política de contraseñas del auditor de contraseñas de Specops |
Si hace clic en el «cuadro rojo» debajo de NIST para la política de contraseña de dominio específica, obtendrá una visión detallada de por qué la política no cumple con el estándar en particular. Vemos que tanto la longitud mínima como la configuración del Diccionario fallan.
 |
| Comparando su política de contraseñas con el estándar NIST |
Uso del auditor de contraseñas de Specops y la política de contraseñas de Specops
Specops Password Auditor proporciona una excelente visibilidad de cómo sus políticas de contraseñas de Active Directory se comparan con los estándares de ciberseguridad estándar de la industria. Suponga que desea llevar esta funcionalidad al siguiente nivel. En ese caso, la política de contraseñas de Specops brinda la capacidad de crear fácilmente políticas de contraseñas que cumplen totalmente con NIST y otros marcos de seguridad cibernética.
Con la Política de contraseñas de Specops, puede implementar fácilmente los componentes más avanzados de sus Políticas de contraseñas de Active Directory, que incluyen archivos de diccionario personalizados y protección de contraseña violada.
 |
| Política de contraseñas de Specops Protección de contraseña violada |
Terminando
Mantener la visibilidad y el cumplimiento en su entorno de Active Directory con las mejores prácticas recomendadas de ciberseguridad, como NIST, es una excelente manera de reforzar la seguridad de su entorno. NIST es un marco de ciberseguridad estándar de la industria bien conocido que proporciona una excelente guía para la seguridad de las contraseñas.
La mayoría de las empresas hoy en día utilizan políticas de contraseñas de Active Directory en el entorno. Realizar auditorías de sus políticas de contraseñas contra el estándar NIST ayuda a ver las áreas de sus políticas existentes que pueden necesitar ser revisadas.
Specops Password Auditor hace que este proceso sea extremadamente fácil. Extrae automáticamente todas las configuraciones de las políticas de contraseñas existentes en el entorno y las compara con los marcos de ciberseguridad estándar de la industria, como NIST. La política de contraseñas de Specops permite implementar fácilmente las recomendaciones del NIST y otras, como diccionarios personalizados y protección de contraseñas violadas.
