Cómo usar la longitud de la contraseña para establecer la mejor política de caducidad de la contraseña

política de seguridad de contraseña fuerte

Una de las muchas características de una política de contraseñas de Active Directory es la antigüedad máxima de la contraseña. Los entornos tradicionales de Active Directory han utilizado durante mucho tiempo la caducidad de las contraseñas como un medio para reforzar la seguridad de las contraseñas. La caducidad de la contraseña nativa en la política de contraseñas de Active Directory predeterminada está relativamente limitada en los ajustes de configuración.

Echemos un vistazo a algunas de las mejores prácticas que han cambiado con respecto a la caducidad de la contraseña. ¿Qué controles puede aplicar con respecto a la caducidad de las contraseñas utilizando la política de contraseñas de Active Directory predeterminada? ¿Existen mejores herramientas que las organizaciones puedan usar para controlar la antigüedad máxima de la contraseña para las cuentas de usuario de Active Directory?

¿Qué mejores prácticas de antigüedad de contraseñas han cambiado?

La caducidad de la contraseña para las cuentas de usuario de Active Directory ha sido durante mucho tiempo un tema controvertido en las mejores prácticas de seguridad.

Si bien muchas organizaciones aún aplican reglas de caducidad de contraseñas más tradicionales, organizaciones de seguridad destacadas han proporcionado una guía actualizada de caducidad de contraseñas. Microsoft ha dicho que eliminará las políticas de caducidad de contraseñas del Línea base de seguridad para Windows 10 v1903 y Windows Server v1903. los Instituto Nacional de Estándares y Tecnología (NIST) ha ofrecido durante mucho tiempo un marco de seguridad cibernética y recomendaciones de mejores prácticas de seguridad.

Actualizado en SP 800-63B Sección 5.1.1.2 de El Directrices de identidad digital: autenticación y gestión del ciclo de vidatenga en cuenta la siguiente orientación:

«Los verificadores NO DEBEN exigir que los secretos memorizados se cambien arbitrariamente (por ejemplo, periódicamente). Sin embargo, los verificadores DEBERÁN forzar un cambio si hay evidencia de compromiso del autenticador». NIST ayuda a explicar el cambio de orientación en su página de preguntas frecuentes que cubre las Pautas de identidad digital.

Afirma: «Los usuarios tienden a elegir secretos memorizados más débiles cuando saben que tendrán que cambiarlos en un futuro cercano. Cuando ocurren esos cambios, a menudo seleccionan un secreto que es similar a su antiguo secreto memorizado mediante la aplicación de un conjunto de transformaciones comunes tales como este La práctica proporciona una falsa sensación de seguridad si alguno de los secretos anteriores se ha visto comprometido, ya que los atacantes pueden aplicar estas mismas transformaciones comunes. o se observa actividad fraudulenta, se debe exigir a los suscriptores que cambien sus secretos memorizados. Solo se utilizarán durante un período de tiempo limitado».

Con la nueva guía de las organizaciones mencionadas y muchas otras, los expertos en seguridad reconocen que la antigüedad de las contraseñas, al menos en sí misma, no es necesariamente una buena estrategia para evitar el compromiso de las contraseñas en el entorno.

Los cambios recientes en la guía de caducidad de contraseñas también se aplican a las Políticas de contraseñas tradicionales de Microsoft Active Directory.

Política de contraseñas de Active Directory Caducidad de contraseñas

Las capacidades de las políticas de cambio de contraseña en las Políticas de contraseña de Active Directory predeterminadas son limitadas. Puedes configurar la antigüedad máxima de la contraseña, y eso es todo. De forma predeterminada, Active Directory incluye la siguiente configuración de política de contraseñas:

  • Hacer cumplir el historial de contraseñas
  • Antigüedad máxima de la contraseña
  • Edad mínima de la contraseña
  • Longitud mínima de la contraseña
  • Auditoría de longitud mínima de contraseña
  • La clave debe cumplir los requerimientos de complejidad
  • Almacenar contraseñas usando encriptación reversible

Cuando hace doble clic en la antigüedad máxima de la contraseña, puede configurar la cantidad máxima de días que un usuario puede usar la misma contraseña.

Cuando observe la explicación dada para la antigüedad de la contraseña, verá lo siguiente en la configuración de la directiva de grupo:

«Esta configuración de seguridad determina el período de tiempo (en días) que se puede usar una contraseña antes de que el sistema requiera que el usuario la cambie. Puede configurar contraseñas para que caduquen después de una cantidad de días entre 1 y 999, o puede especificar que las contraseñas nunca caducan estableciendo el número de días en 0. Si la antigüedad máxima de la contraseña está entre 1 y 999 días, la antigüedad mínima de la contraseña debe ser inferior a la antigüedad máxima de la contraseña. La antigüedad puede ser cualquier valor entre 0 y 998 días.

Política de contraseñas de Active Directory
Definición de la antigüedad máxima de la contraseña con la política de contraseñas de Active Directory

Con la configuración de política predeterminada, realmente puede activar o desactivar la política y luego establecer la cantidad de días antes de que caduque la contraseña de usuario. ¿Qué pasaría si tuviera más opciones para controlar la antigüedad máxima de la contraseña y establecer diferentes valores según la complejidad de la contraseña?

Política de contraseña basada en la longitud de Specops

Como se mencionó, la orientación reciente de muchas autoridades de mejores prácticas de seguridad cibernética recomienda no forzar cambios de contraseña y detalla los motivos de este cambio. Sin embargo, muchas organizaciones aún pueden aprovechar la antigüedad de las contraseñas como parte de su estrategia general de seguridad de contraseñas para protegerse contra las contraseñas de los usuarios que caen en las manos equivocadas. ¿Qué pasaría si los administradores de TI tuvieran funciones además de las que proporciona Active Directory?

La política de contraseñas de Specops proporciona muchas funciones adicionales en comparación con la configuración predeterminada de la política de contraseñas de Active Directory, incluida la caducidad de la contraseña. Una de las opciones contenidas en la Política de contraseñas de Specops se denomina «Vigencia de la contraseña basada en la longitud».

Con esta configuración, las organizaciones pueden definir diferentes «niveles» de caducidad de la contraseña en función de la longitud de la contraseña del usuario. Permite mucha más granularidad en la forma en que las organizaciones configuran la caducidad de las contraseñas en un entorno de Active Directory en comparación con el uso de las opciones de configuración predeterminadas de la política de contraseñas de Active Directory.

También permite apuntar a las contraseñas más débiles en el entorno y forzarlas a caducar lo más rápido posible. Notarás en la captura de pantalla. La caducidad de la contraseña basada en la longitud en la política de contraseñas de Specops es altamente configurable.

Incluye los siguientes ajustes:

  • Número de niveles de caducidad – Ingrese cuántos niveles de vencimiento habrá. Un nivel de caducidad determina cuántos días adicionales tendrá el usuario hasta que su contraseña caduque y deba cambiarla. Esto depende de la longitud de la contraseña del usuario. Para aumentar el número de niveles, mueva el control deslizante hacia la derecha. El número máximo de niveles de caducidad que pueden existir es 5.
  • Personajes por nivel – La cantidad de caracteres adicionales por nivel que definen los días adicionales en el vencimiento de la contraseña
  • Días extra por nivel – Cuántos días adicionales de caducidad vale cada nivel.
  • Deshabilitar la caducidad para el último nivel – Las contraseñas que cumplan con los requisitos para el nivel de vencimiento final en la lista no vencerán.
Política de contraseñas de Specops
Configuración de la política de contraseñas basadas en la longitud en la política de contraseñas de Specops

Specops permite notificar fácilmente a los usuarios finales cuando su contraseña está a punto de caducar. Informará a los usuarios finales al iniciar sesión o mediante el envío de una notificación por correo electrónico. Puede configurar los días antes del valor de caducidad para cada una de estas configuraciones.

Política de contraseñas de Specops
Configuración de notificaciones de caducidad de contraseña en la política de contraseñas de Specops

Las organizaciones definen las configuraciones de longitud mínima y máxima de la contraseña en el Reglas de contraseña área de configuración de la Política de Contraseña de Specops. Si cambia la configuración de la longitud mínima y máxima de la contraseña, los valores de longitud de la contraseña en cada nivel de la caducidad de la contraseña basada en la longitud también cambiarán.

longitud máxima de la contraseña
Configuración de la longitud mínima y máxima de la contraseña

En combinación con otras características de la política de contraseñas de Specops, como protección de contraseña violadala caducidad de la contraseña basada en la longitud fortalece las políticas de contraseñas empresariales para los trabajadores locales y remotos.

Terminando

La caducidad de las contraseñas ha sido durante mucho tiempo una característica de las políticas de contraseñas de Active Directory en la mayoría de los entornos empresariales. Sin embargo, a medida que los atacantes mejoran en comprometer las contraseñas, la nueva guía de mejores prácticas de seguridad ya no recomienda a las organizaciones que utilicen la caducidad estándar de las contraseñas.

La política de contraseñas de Specops proporciona atractivas capacidades de caducidad de contraseñas que permiten ampliar las funciones de caducidad de contraseñas en comparación con las políticas de contraseñas predeterminadas de Active Directory. Al agregar niveles de caducidad, la Política de contraseñas de Specops permite identificar de manera efectiva las contraseñas débiles en el entorno al hacer que estas contraseñas caduquen rápidamente. Los usuarios finales pueden utilizar contraseñas seguras durante mucho más tiempo.

Las organizaciones pueden incluso decidir no caducar nunca contraseñas específicas que cumplan con la longitud de contraseña definida. El uso de las características de la política de contraseñas de Specops, incluida la caducidad de la contraseña basada en la longitud, ayuda a garantizar una seguridad de contraseña más sólida en el entorno. Clic aquí para saber más.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática