Las políticas de contraseñas modernas se componen de muchos elementos diferentes que contribuyen a su eficacia. Uno de los componentes de una política actual efectiva de contraseñas hace uso de lo que se conoce como diccionario que filtra ciertas palabras que no están permitidas como contraseñas en el entorno.
Usando diccionarios personalizados, las organizaciones pueden mejorar significativamente su postura de seguridad cibernética y filtrar contraseñas obvias que brindan poca seguridad para las cuentas de usuario.
Al usar diccionarios de contraseñas en su política de contraseñas, hay muchos enfoques diferentes a considerar. Primero, consideremos crear un diccionario personalizado para su política de contraseñas, incluida una guía general sobre cómo se crean, configuran y cómo puede usar diccionarios personalizados fácilmente en un entorno de directorio activo.
¿Por qué personalizar tu diccionario?
Los diccionarios personalizados nacen de la necesidad de «pensar como piensa un hacker». Las credenciales comprometidas son una de las principales causas de violaciones de datos maliciosos en todos los ámbitos. También son uno de los más caros para las organizaciones. de IBM Costo de un informe de violación de datos 2020las credenciales comprometidas aumentaron el costo total promedio de una infracción en casi $ 1 millón a $ 4,77 millones.
Los piratas informáticos suelen utilizar ataques basados en credenciales para comprometer contraseñas débiles, contraseñas que se han violado anteriormente, contraseñas comunes utilizadas en un sector comercial específico o transformaciones ortográficas comunes. Desafortunadamente, todos tendemos a usar contraseñas que podemos recordar fácilmente. Además, los usuarios finales a menudo agregan números comunes o patrones de símbolos al principio o al final de las contraseñas para sortear los requisitos de complejidad de las contraseñas.
Tanto la naturaleza humana como las herramientas tecnológicas disponibles permiten descifrar o adivinar fácilmente contraseñas débiles, estándar o esperadas. Si bien los atacantes tienen acceso a grandes bases de datos de contraseñas violadas y, por lo demás, comunes o débiles, los «buenos» pueden implementar un archivo de contraseñas de una buena manera: el diccionario personalizado. El diccionario de contraseñas personalizado funciona a favor de asegurar las contraseñas en su entorno.
Cuando se implementa, el diccionario personalizado proporciona un medio para filtrar la contraseña o los usuarios finales elegidos de tal manera que no permita contraseñas o variaciones de las contraseñas contenidas en el diccionario personalizado. Entonces, ¿no son seguras todas las contraseñas que cumplen con los requisitos de la política de contraseñas de Active Directory? No exactamente.
Si bien los requisitos de la política de contraseñas definidos por la Política de contraseñas de Active Directory son un buen punto de partida, dejan mucho que desear cuando se consideran las herramientas de descifrado y otras herramientas de contraseñas que los ciberdelincuentes utilizan hoy en día.
Como ejemplo, una política de contraseñas puede requerir que un usuario final cumpla con los siguientes requisitos:
- Mínimo de 8 caracteres
- La contraseña debe cumplir con los requisitos de complejidad (debe contener mayúsculas, minúsculas, números y caracteres no alfabéticos, como símbolos)
 |
| Una política de contraseñas definida en Active Directory Domain Services |
Con la configuración de la política de contraseñas nativa de Active Directory anterior, un usuario podría establecer contraseñas como:
- P @ $$ palabra123
- NombreDeMiEmpresa123!
- Déjame entrar1 $
Las contraseñas anteriores cumplen con todos los criterios definidos como parte de los requisitos de longitud y complejidad. Sin embargo, son débiles y adivinan fácilmente debido a diferentes razones. Como muestran los ejemplos anteriores, podrían ser variantes conocidas de palabras comunes como «Contraseña», relacionadas con el nombre de su empresa o industria específica, o una frase común contenida en una base de datos de contraseñas descifradas como «Letmein1 $».
Diccionarios de contraseñas personalizados descargables
Es posible que no desee «reinventar la rueda» cuando se trata de recopilar contraseñas para usarlas en un diccionario personalizado para su política de contraseñas. Hay diccionarios de contraseñas listos para usar y archivos de contraseñas que se pueden descargar libremente como base para un diccionario de contraseñas personalizado. Un ejemplo incluye el ¿Me han engañado? lista de contraseñas: He sido Pwned: Contraseñas Pwned.
Las empresas también pueden utilizar herramientas fácilmente disponibles como Crujido, disponible en Kali Linux o instalable desde su repositorio de distribución de Linux. En Ubuntu, puede instalar Crunch usando el comando:
- sudo apt-get install crunch
Permite crear una lista de palabras que los equipos de SecOps de su organización pueden usar para auditorías de fuerza bruta o seguridad de contraseñas. Además, estas herramientas fácilmente disponibles pueden proporcionar la base para crear sus propias listas de contraseñas personalizadas en su entorno.
Empleando un filtro de contraseña .dlls
Sin embargo, implica algo más que simplemente crear un archivo de diccionario de contraseñas. Las organizaciones que deseen implementar su propio archivo .dll de filtro de contraseña personalizado, junto con palabras que contengan su nombre comercial o palabras clave específicas de la industria, deben tener el talento y los recursos de desarrollo disponibles para crear el archivo .dll necesario para la funcionalidad de filtro de contraseña en Active Directory.
Microsoft describe el proceso de registro e instalación de un archivo .dll de filtro de contraseña aquí: Instalación y registro de un archivo DLL de filtro de contraseña: aplicaciones Win32 | Documentos de Microsoft.
Soluciones de diccionario personalizadas en sus herramientas de política de contraseñas
¿Existe una manera fácil de crear un diccionario personalizado para su política de contraseñas? La política de contraseñas de Specops elimina el trabajo más duro de implementar diccionarios personalizados para sus políticas de contraseñas y permite la negación de más de 2 mil millones de contraseñas violadas conocidas, además de cualquier término personalizado como el nombre de su empresa o la ubicación, que se agregará a una herramienta de política de contraseñas.
Las herramientas de políticas de contraseñas de alta calidad como esta se integran con sus Políticas de contraseñas nativas de Active Directory implementadas en el nivel de Política de grupo.
Con simples casillas de verificación, la solución Specops permite a los administradores de TI implementar de manera fácil y rápida varios diccionarios de contraseñas como parte de las reglas de contraseñas configuradas para su organización.
 |
| Configuración del diccionario de la política de contraseñas de Specops |
Configurando el Usar diccionarios personalizados permite importar archivos de contraseñas, archivos hash o crear nuevos diccionarios directamente desde la interfaz.
 |
| Configuración de la configuración de diccionarios personalizados en la política de contraseñas de Specops |
Comience a usar un diccionario personalizado en su política de contraseñas
Las organizaciones de hoy deben reforzar la seguridad de las contraseñas de las cuentas para fortalecer su postura general de ciberseguridad. El uso de diccionarios personalizados como parte de sus políticas de contraseñas es una excelente manera de tener en cuenta una estrategia ofensiva para sus esfuerzos de seguridad cibernética. Sin embargo, la implementación de un archivo .dll de filtro de contraseña personalizado en el entorno requiere el desarrollo del archivo .dll de filtro de contraseña personalizado requerido por Active Directory.
Este desarrollo puede presentar obstáculos para las empresas que implementan diccionarios personalizados como bloqueadores de costos, mantenimiento y eficiencia. La política de contraseñas de Specops permite implementar varios archivos de diccionario personalizados con solo unos pocos clics, lo que elimina la complejidad y los problemas de seguridad relacionados con la implementación correcta.
Obtenga más información sobre la política de contraseñas de Specops o comience su prueba gratuita.
