Construya las mejores políticas de contraseñas en Active Directory

Noticias y Novedades

¿Es usted de los que pone empeño a la hora de crear sus contraseñas corporativas?, o ¿simplemente ingresa su nombre, fecha de nacimiento o número de identificación? Ojalá su respuesta sea un sí al primer interrogante y un no al segundo.

Vulnerar contraseñas es una de las prácticas favoritas de los hackers para acceder a los activos digitales de las organizaciones. A menudo, los ciberdelincuentes utilizan técnicas como ataques de fuerza bruta o diccionario para descifrar claves débiles e ingresar a cuentas sensibles.

Establecer políticas robustas de contraseñas en el Active Directory de una compañía, es fundamental para evitar estas amenazas. Es una herramienta centralizada que gestiona la autenticación y autorización de los usuarios en una red. De aquí su gran importancia.

Conozca a continuación, cuáles son las mejores prácticas para crear políticas de contraseñas en AD:

Longitud mínima y complejidad: Establecer una longitud requerida para las contraseñas, generalmente de al menos ocho caracteres, y exigir la inclusión de letras en mayúsculas, minúsculas, números y símbolos. Esto dificulta a los atacantes el descifrado de las contraseñas mediante métodos automatizados.

Expiración de contraseñas: Designar la vigencia de las claves, por ejemplo, cada 30, 60 o 90 días. Esto garantiza que las contraseñas se actualicen periódicamente y limita el tiempo durante el cual un atacante puede utilizar una contraseña descifrada.

Evitar contraseñas comunes: Prohibir el uso de claves fáciles de predecir, como “123456” o “password”. Implementar medidas para bloquear el uso de contraseñas débiles y educar a los colaboradores sobre la importancia de elegir contraseñas únicas y seguras

Bloqueo de cuentas después de intentos fallidos: Configurar el Active Directory para bloquear automáticamente una cuenta después de un número determinado de intentos de inicio de sesión fallidos. Esto evita ataques de fuerza bruta y protege las cuentas de posibles intentos de acceso no autorizado.

Control de contraseñas anteriores: Configurar Active Directory para evitar que los usuarios repitan contraseñas. Esto evita que los colaboradores utilicen ciclos de contraseñas predecibles y refuerza la necesidad de generar nuevas contraseñas cada vez que se requiera un cambio.

Encriptación de contraseñas: Asegurarse de que las claves almacenadas en AD se almacenen en forma encriptada. La encriptación agrega una capa adicional de protección en caso de que la base de datos de AD se vea comprometida.

Uso de herramientas de evaluación de contraseñas: Estas permiten analizar y evaluar la fortaleza de las contraseñas utilizadas por los usuarios. Dichas herramientas pueden identificar claves débiles o comunes y sugerir cambios para mejorar su seguridad.

Actualizaciones y parches de seguridad: Mantener el Active Directory con las últimas actualizaciones y parches de seguridad es esencial para mitigar las vulnerabilidades y protegerse contra amenazas.

Auditorías de seguridad: Realizar auditorías periódicas en Active Directory para identificar posibles vulnerabilidades y debilidades en las políticas de contraseñas y en la configuración general de seguridad. Esto ayuda a mantener un entorno confiable y permite implementar medidas correctivas de manera oportuna.

Además de establecer políticas de contraseñas robustas, existen algunas alternativas adicionales que se pueden utilizar para aumentar la rigurosidad de las claves en Active Directory

¿De qué otras alternativas estamos hablando?

 

Autenticación de múltiples factores (MFA): El uso de MFA agrega una capa adicional de seguridad al requerir que los usuarios proporcionen más de un factor de autenticación para acceder a sus cuentas. Esto generalmente implica combinar algo que el usuario sabe (contraseña) con algo que posee (como un dispositivo móvil) o algo que es único para el usuario (como la biometría: huellas dactilares, reconocimiento facial, escaneo de iris o reconocimiento de voz).

Al implementar MFA en el Acctive Directory, incluso si una contraseña es comprometida, un atacante no podrá acceder a la cuenta sin el segundo factor de autenticación

Bóvedas de contraseñas: Las bóvedas de passwords son herramientas que permiten almacenar y gestionar de forma segura las claves de los usuarios. En lugar de que los colaboradores tengan que recordar y escribir sus contraseñas, estas se almacenan en un entorno cifrado y solo se proporcionan cuando sea necesario. Las bóvedas de contraseñas ayudan a prevenir la reutilización de claves y minimizan el riesgo de que estas se filtren o se pierdan.

Zero trust: Es un modelo de seguridad que funciona con el principio de “nunca confíe, siempre verifique”. En este método, todos los usuarios y dispositivos se consideran no confiables hasta que se verifique su identidad.

Incluso si un usuario o dispositivo ha accedido a activos empresariales antes o si está dentro de la red de la compañía, tendrán que pasar por una verificación y autenticación adecuadas antes de obtener acceso.

ManageEngine puede convertirse en su mejor aliado para establecer este tipo de políticas en Active Directory, a través de las siguientes herramientas:

Con ADManager Plus usted podrá administrar y reiniciar contraseñas de Active Directory, haciéndolo de forma automatizada y masiva. También podrá obtener informes de contraseñas predefinidos para identificar las claves que están a punto de expirar.

ADSelfService Plus y su funcionalidad autenticación multifactor (MFA) para endpoints le ayudará a garantizar que los usuarios demuestren su identidad a través de métodos adicionales de verificación. Estos incluyen la biometría durante los inicios de sesión en estaciones de trabajo, servidores, VPN y OWA.

En el siguiente video podrá conocer cómo fortalecer la política de contraseñas con ADSelfService Plus:

Además, podrá analizar actividades sospechosas y prevenir amenazas, con ayuda de Log360. El dashboard analítico le brindará información detallada sobre indicadores de ataques, como el origen de la amenaza, la puntuación de reputación de la dirección IP/URL maliciosa y mucho más.

No olvide que al combinar las políticas de contraseñas con las nuevas alternativas de seguridad ya mencionadas, será menos probable que su compañía sea blanco de la ciberdelincuencia. Recuerde que estas acciones preventivas son una responsabilidad compartida y usted es pieza clave para propagar una cultura de ciberseguridad en su organización.

ManageEngine Blog

×