Reforzar las políticas de contraseñas en su organización es una parte importante de una sólida estrategia de ciberseguridad. Los ciberdelincuentes están utilizando cuentas comprometidas como una de sus tácticas favoritas para infiltrarse en entornos críticos para el negocio; como hemos visto en noticias recientes, estos ataques pueden ser peligrosos y tener un impacto financiero.
Desafortunadamente, el compromiso de la cuenta es un método de ataque muy exitoso y requiere mucho menos esfuerzo que otros vectores de ataque.
Uno de los tipos esenciales de protección con contraseña recomendados por los estándares de seguridad cibernética es detección de contraseña violada. Los piratas informáticos a menudo usan listas de contraseñas violadas conocidas en ataques de relleno de credenciales o rociado de contraseñas.
Aquí hay algunos criterios críticos a considerar cuando sus administradores de sistemas están evaluando soluciones de protección de contraseñas violadas.
Resumen
Recomendaciones de contraseñas violadas
En los últimos años, las recomendaciones de seguridad de contraseñas han evolucionado más allá de las recomendaciones tradicionales con respecto a la seguridad de contraseñas.
Las empresas han utilizado Microsoft Active Directory durante años para implementar políticas de contraseñas en la organización. Las políticas estándar de contraseñas de Active Directory incluyen ajustes mínimos de configuración de contraseñas.
A continuación se muestra un ejemplo de la configuración que se ofrece con una política de contraseña de Active Directory convencional:
- Hacer cumplir el historial de contraseñas
- Antigüedad máxima de la contraseña
- Edad mínima de la contraseña
- Longitud mínima de la contraseña
- Auditoría de longitud mínima de contraseña
- La clave debe cumplir los requerimientos de complejidad
- Almacenar contraseña usando encriptación reversible
De forma predeterminada, las Políticas de contraseñas de Active Directory no incluyen una solución para implementar la protección de contraseñas violadas.
 |
| Configuración de la política de contraseñas de Active Directory |
¿Por qué es importante que las empresas comiencen a pensar en la protección de contraseñas violadas? Veamos las recomendaciones de mejores prácticas de las principales autoridades en orientación sobre seguridad cibernética.
Nuevas recomendaciones de política de contraseñas
Como se mencionó, las políticas de contraseñas tradicionales creadas con Active Directory tienen características y capacidades limitadas. Estos permiten crear políticas de contraseñas básicas con longitud estándar, complejidad, edad y otros requisitos. Sin embargo, no hay forma de utilizar la funcionalidad nativa para implementar la protección de contraseñas violadas.
Si bien existe un medio para implementar un filtro de contraseña .dll en Active Directory para proporcionar protección de diccionario de contraseña, este es un proceso manual que depende del desarrollo de archivos .dll de filtro de contraseña personalizados.
Nueva guía de política de contraseñas de las principales autoridades de seguridad cibernética, como la Instituto Nacional de Estándares y Tecnología (NIST) recomendar protección de contraseña violada. La Publicación Especial NIST 800-63B SP 800-63B Sección 5.1.1.2 párrafo 9 establece:
«Los verificadores NO DEBEN imponer otras reglas de composición (p. ej., requerir mezclas de diferentes tipos de caracteres o prohibir caracteres repetidos consecutivamente) para los secretos memorizados. Los verificadores NO DEBEN exigir que los secretos memorizados se cambien arbitrariamente (p. ej., periódicamente). Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador. «
Básicamente, la guía de NIST recomienda que las organizaciones deben forzar un cambio de contraseña si hay evidencia de una violación. Para que las empresas tengan pruebas de una violación de contraseña, deben tener una forma de monitorear el panorama de contraseñas en busca de contraseñas violadas. Además de monitorear las contraseñas para que sean violadas, a medida que los usuarios eligen nuevas contraseñas, las nuevas opciones de contraseña deben verificarse.
Evaluación de los servicios de detección de contraseñas violadas
La detección de contraseñas violadas es una mejor práctica recomendada para una capa adicional de prevención de ciberataques. Considere las siguientes funciones como imprescindibles a las que debe prestar mucha atención al elegir una solución:
- Facilidad de despliegue
- Monitoreo proactivo
- Cambios de contraseña proactivos
- Tamaño de la base de datos de contraseñas violadas
- Integración con las políticas actuales de contraseñas de Active Directory
- Facilidad de despliegue
Una consideración esencial que las empresas deben tener en cuenta al elegir una solución de contraseña violada de terceros es la facilidad de implementación. Busque soluciones que se implementen fácilmente utilizando la infraestructura de Active Directory existente. Las soluciones que son difíciles de implementar probablemente generarán problemas de configuración y desafíos con la implementación y el tiempo de creación de valor. Busque soluciones que hagan uso de la infraestructura de Active Directory existente junto con la Política de grupo que permita hacer uso rápidamente de las políticas y la infraestructura existentes.
1 – Seguimiento proactivo
Uno de los requisitos esenciales para la protección de contraseñas violadas es el monitoreo proactivo. Las organizaciones necesitan una solución que verifique una contraseña durante la operación de establecimiento de contraseña y monitoree de manera proactiva el panorama de contraseñas para encontrar contraseñas que puedan ser violadas. Esta funcionalidad ayuda a garantizar que las contraseñas que no se vulneren durante la creación, pero que se vulneren más adelante, se identifiquen correctamente y se puedan remediar.
2 – Cambios de contraseña proactivos
Al encajar en el monitoreo proactivo de contraseñas violadas en el entorno, las organizaciones deben buscar una solución de protección de contraseñas violadas que requiera de manera proactiva que los usuarios finales cambien su contraseña si se violan. Esta función ayuda a garantizar que cualquier contraseña que se viole en el entorno se corrija lo más rápido posible.
3 – Tamaño de la base de datos de contraseñas violada
Tenga en cuenta que todos los servicios de protección de contraseñas violadas no son iguales en la cantidad de contraseñas violadas verificadas. Las bases de datos de contraseñas violadas pueden variar entre diferentes servicios. Cuanto más extensa sea la base de datos de contraseñas violadas, mejor para protegerse contra contraseñas violadas. Si la cantidad de contraseñas violadas no se comunica de manera transparente, pregunte directamente al proveedor cuántas están incluidas en sus listas de back-end.
4 – Integración con las políticas actuales de contraseñas de Active Directory
 |
| Protección de contraseña violada de Specops |
Busque una solución de protección de contraseñas violadas que pueda integrarse con las políticas actuales de contraseñas de Active Directory. Significa que puede dejar las asignaciones de GPO en su lugar que asignan varias políticas de contraseña a usuarios específicos y ayudarán a evitar «reinventar la rueda».
Protección de contraseña violada de Specops
La solución de política de contraseñas de Specops permite a las organizaciones tener una poderosa protección de contraseñas violadas como parte de la seguridad de contraseñas del entorno. Las características incluyen todos los requisitos principales, como:
- Monitoreo proactivo de contraseñas violadas y cumplimiento de cambios de contraseña
- Fácil de implementar e integrar con las políticas de contraseñas basadas en GPO de Active Directory existentes
- Base de datos de contraseñas violadas descargable o protección basada en API
- Base de datos administrada de más de 2 mil millones de contraseñas y en crecimiento
- Con el enfoque basado en API, obtiene protección de contraseñas violadas en tiempo real para las contraseñas de su organización
Con la política de contraseñas de Specops con protección de contraseñas violadas, puede implementar fácilmente la protección de contraseñas violadas utilizando políticas de contraseñas de Active Directory basadas en GPO que ya están implementadas.
Para profundizar en la política de contraseñas de Specops con protección de contraseña violada, inicie una prueba gratuita en cualquier momento.
