Consejos sobre políticas de contraseñas de dominio de Windows

El Instituto Nacional de Estándares y Tecnología (NIST) tiene algunosbuenas publicaciones sobre temas de seguridad informática. Son excelentes recursos... la publicación que está buscando es la Publicación especial NIST 800-53. (Créame, no es tan malo como parece)

En mi opinión, una política de contraseñas debería ser algo como esto:

• 8 personajes
• 3 de los siguientes: mayúsculas, minúsculas, números, caracteres especiales
• no reutilizar las últimas 12 contraseñas
• Caducidad de la contraseña de 30 a 90 días

Tenga en cuenta que cuanto más restrictiva sea su política, más veces lo llamarán usuarios que necesiten desbloquear cuentas o restablecer contraseñas. Cuanto menos restrictiva sea su política, mayor riesgo expondrá a su organización.

Por defecto, no se puede definir cómocomplejouna política de contraseñas de dominio es (al menos hasta 2003). Hay formas y medios de cambiar las reglas, pero según tengo entendido, es excepcionalmente complicado y no apto para personas débiles de corazón. En otras palabras, no puede decidir que desea que las contraseñas de sus usuarios sean 3 mayúsculas, 2 especiales, 2 numéricas, etc.

Esto es lo que se configurará cuando ustedPermitirelLa clave debe cumplir los requerimientos de complejidadconfiguración en la política de grupo Dominio predeterminado:

La clave debe cumplir los requerimientos de complejidad.

Esta configuración de seguridad determina si las contraseñas deben cumplir con los requisitos de complejidad. Si esta política está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos:

• No contener el nombre de la cuenta del usuario ni partes del nombre completo del usuario que superen los dos caracteres consecutivos. Tener al menos seis caracteres de longitud.

• Contiene personajes de tres de las siguientes cuatro categorías:

• Caracteres en mayúsculas en inglés (de la A a la Z)

• Caracteres en minúscula en inglés (a> a z)

• Base 10 dígitos (0 a >9)

• Caracteres no alfabéticos (por> ejemplo, !, $, #, %)

Los requisitos de complejidad se aplican cuando se cambian o crean contraseñas.

Lo que tupoderestablecido sin embargo, es:

• longitud mínima de la contraseña
• edad mínima de la contraseña
• edad máxima de la contraseña
• historial de contraseñas
• umbral de bloqueo de cuenta (intentos de inicio de sesión no válidos)
• duración del bloqueo de cuenta

En todos nuestros dominios utilizamos complejidad, mínimo de 8 caracteres, antigüedad mínima de 14 días, antigüedad máxima de 90 días, historial de contraseñas de 14, 5 intentos de inicio de sesión no válidos, duración del bloqueo de 30 minutos.

El enlace de duffbeer703 es bueno. Existen algunas razones técnicas para ciertas limitaciones de contraseñas y requisitos mínimos. Especialmente necesitas explorar estas limitaciones si no estás en un entorno completamente homogéneo.

De todos modos, la regla del grupo de 8 caracteres, tres de cuatro caracteres es bastante estándar. Lo que hago personalmente es capacitar a mis usuarios para que creen frases de contraseña en lugar de contraseñas. Esto hace que crear contraseñas sea mucho más fácil y no pasan tanto tiempo tratando de descubrir cómo cumplir con todos esos requisitos de caracteres. Una contraseña como "Hace sol. ¡Yippee!" Es bastante fácil de idear y recordar.

Sin embargo, hay un problema con este enfoque si las personas usan la gramática inglesa adecuada cuando escriben sus frases de contraseña y, por lo tanto, limitan un poco el número total de combinaciones posibles. Es decir, una contraseña que siempre comienza con una letra mayúscula y termina con un punto no es más segura solo porque contiene una letra mayúscula y un punto, es más débil porque podemos adivinarlo de antemano.

Las otras reglas estándar de dominio de Windows están bien, en mi opinión, excepto que solo necesito un cambio de contraseña cada trimestre. Personalmente, no estoy convencido de la noción de caducidad de la contraseña. Incluso treinta días son una eternidad si una cuenta se ve comprometida. De todos modos, la gente se enoja mucho cuando tienen que cambiar una contraseña.

Dado que ni siquiera los expertos en seguridad pueden ponerse de acuerdo sobre un buen punto medio en todo lo relacionado con las contraseñas, digo que la mayoría de los consejos en cualquier extremo son simplemente estúpidos a menos que estés específicamente en una situación de alta seguridad. Lo que creo que es más importante, y lo que realmente hago que los usuarios firmen, es una declaración similar a: "NUNCA COMPARTA SU CONTRASEÑA CON NADIE. NO ME IMPORTA QUIÉNES SON NI POR QUÉ NECESITAN ENTRAR A SU COMPUTADORA". CUANDO ESTÁS DE VACACIONES. LA SEGURIDAD DE TU CONTRASEÑA ES TU RESPONSABILIDAD." El mayor abuso de cuentas por lo que he visto proviene de personas que comparten contraseñas. Todas las demás cosas de los piratas informáticos de 133t apenas son una preocupación en un negocio antiguo y normal.

La publicación de Nist está bien, la política de contraseñas de su dominio no es tan importante como educar a los usuarios para que no compartan sus contraseñas. No hay nada intrínsecamente malo en una contraseña que no caduque, siempre y cuando no esté pegada a su teclado y no la compartan. Básicamente, cualquier parámetro que establezca estará bien, las dos cosas más importantes en las que debe pensar son:

Umbral de bloqueo de cuenta (intentos de inicio de sesión no válidos) Duración del bloqueo de cuenta

Lo que esto limita es la capacidad de las personas para aplicar fuerza bruta a su seguridad. Normalmente recomiendo un umbral de 5 y una duración de 2 horas, pero eso ciertamente depende de la situación. Como señaló Boden, ni siquiera los expertos en seguridad pueden ponerse de acuerdo sobre qué es una política de contraseñas seguras. De hecho, implementaríaaislamiento de servidor y dominioantes me preocupaba por mi política de contraseñas. En ese momento te daré mi contraseña; todavía no accedes a mis recursos.