Este consejo no ha cambiado en décadas. Utilice una contraseña compleja que incluya letras mayúsculas y minúsculas, números y símbolos. La idea es dificultar que los piratas informáticos descifren contraseñas utilizando técnicas de fuerza bruta. Sin embargo, una guía más reciente indica que la atención debe centrarse en la longitud de la contraseña en lugar de en su complejidad. La longitud es un factor de seguridad más importante y las frases de contraseña son la forma más sencilla de obligar a los usuarios a crear (y recordar) contraseñas largas.
matemáticas importantes
Cuando un atacante roba un hash de contraseña de una infracción, realiza un ataque de fuerza bruta al realizar millones de conjeturas por segundo hasta que algo coincide. El tiempo que esto lleva depende de cuántas combinaciones posibles haya.
Una contraseña tradicional «compleja» de 8 caracteres (P@ssw0rd!) tiene aproximadamente 218 billones de combinaciones. Suena impresionante hasta que te das cuenta de que las configuraciones modernas de GPU te permiten probar estas combinaciones en meses en lugar de años. Si aumenta esto a 16 caracteres usando solo letras minúsculas, verá 26^16 combinaciones, miles de millones de veces más difíciles de descifrar.
Ésta es la entropía efectiva, o la aleatoriedad real con la que tiene que lidiar el atacante. Encadenar tres o cuatro palabras comunes aleatorias (“alfombra-estática-pretzel-invocar”) produce mucha más entropía que agrupar símbolos en una cadena corta. Y los usuarios pueden realmente recordarlos.
Por qué las frases de contraseña son una victoria en todos los sentidos
El caso de las frases de contraseña no es teórico, sino operativo.
Menos reinicios. Cuando las contraseñas son fáciles de recordar, los usuarios dejan de escribirlas en notas adhesivas o de reutilizar variaciones similares en todas las cuentas. La reducción de los tickets de la mesa de ayuda por sí sola debería justificar el cambio.
Aumenta la resistencia al ataque. Los atacantes optimizan los patrones. Pruebe palabras en el diccionario usando sustituciones comunes (@ para a, 0 para o). Porque eso es lo que hace la gente. Una frase de contraseña de cuatro palabras evita por completo estos patrones, pero sólo si las palabras son realmente aleatorias y no están relacionadas.
Cumple con la orientación actual. El NIST ha dejado claro que prefiere la longitud a la complejidad forzada. El mínimo tradicional de 8 caracteres debería ser cosa del pasado.
Hay una regla que vale la pena seguir
Deje de administrar 47 requisitos de contraseña. Ofrezca a sus usuarios una instrucción clara.
Elija 3 o 4 palabras comunes no relacionadas y márquelas con signos de puntuación. Evite letras de canciones, nombres propios y frases conocidas. No reutilizar entre cuentas.
Ejemplo: mango-glaciar-portátil-horno o grillo.carretera.mostaza.piano
eso es todo. No se requieren letras mayúsculas, ni símbolos requeridos, ni teatro complejo. Sólo longitud y aleatoriedad.
Implemente sin confusión
Los cambios de autenticación pueden causar resistencia. A continuación se explica cómo minimizar la fricción:
Comience con un grupo piloto de 50 a 100 usuarios de diferentes departamentos. Bríndeles nueva orientación y vigílelos (pero no los obligue) durante dos semanas. Esté atento a los patrones: ¿la gente utiliza frases de la cultura pop como predeterminadas? ¿Cumplen consistentemente con los requisitos de longitud mínima?
Luego, mueva toda su organización al modo de solo alerta. Si la nueva contraseña es débil o está comprometida, se alerta al usuario pero no se bloquea. Esto le permite aumentar la conciencia sin crear cuellos de botella en el apoyo.
Aplicar sólo después de medir:
Tasas de adopción de frases de contraseña Reducción de restablecimientos del servicio de asistencia técnica Accesos a contraseñas bloqueadas de la lista de bloqueo Problemas informados por los usuarios
Realice un seguimiento de estos como KPI. Le dirá si esto está funcionando mejor que la política anterior.
Continuar utilizando herramientas políticas apropiadas
Se requieren tres actualizaciones de las políticas de contraseñas de Active Directory para admitir correctamente las frases de contraseña.
Aumente la longitud mínima. Cambie de 8 caracteres a 14 o más caracteres. Esto admite frases de contraseña sin causar problemas a los usuarios que todavía prefieren las contraseñas tradicionales. Elimina la comprobación de complejidad forzada. Deja de pedir letras mayúsculas, números y símbolos. La longitud reduce el esfuerzo del usuario y mejora la seguridad. Bloquee las credenciales comprometidas. Esto no es negociable. Incluso la frase de contraseña más segura es inútil si ya ha sido comprometida. Las políticas requieren verificar los envíos con una lista de infractores conocidos en tiempo real.
El restablecimiento de contraseña de autoservicio (SSPR) puede ayudarle durante la migración. Los usuarios pueden actualizar de forma segura sus credenciales cuando lo deseen, para que su mesa de ayuda no sea un cuello de botella.
La auditoría de contraseñas proporciona visibilidad de las tasas de adopción. Puede identificar cuentas que todavía usan contraseñas cortas o patrones comunes y dirigirse a esos usuarios con orientación adicional.
Herramientas como Specops Password Policy manejan las tres funciones: extender los mínimos de la política, bloquear más de 4 mil millones de contraseñas comprometidas e integrarse con los flujos de trabajo SSPR. Las actualizaciones de políticas se sincronizan con Active Directory y Azure AD sin infraestructura adicional, y las listas de bloqueo se actualizan diariamente a medida que se producen nuevas infracciones.
lo que realmente sucede
Imagine que la política requiere 15 caracteres, pero se eliminan todas las reglas de complejidad. El usuario crea un boceto de fuente de montaña rusa la próxima vez que cambia su contraseña. Herramientas como Specops Password Policy la comparan con bases de datos de contraseñas comprometidas. Esto está limpio. Tiene cuatro imágenes concretas unidas entre sí para que los usuarios las recuerden sin necesidad de utilizar un administrador de contraseñas. No lo reutilizamos porque sabemos que es exclusivo de esta cuenta.
Después de 6 meses, no hay solicitudes de reinicio. No más notas adhesivas, no más llamadas al servicio de asistencia técnica porque accidentalmente encontraste un símbolo. Nada innovador. Simplemente simple y efectivo.
La seguridad que realmente necesitas
Las frases de contraseña no son una solución milagrosa. El Ministerio de Asuntos Exteriores sigue siendo importante. La supervisión de credenciales comprometidas sigue siendo importante. Pero si está gastando recursos cambiando políticas de contraseñas, debería gastar esos recursos en aumentar los valores mínimos, simplificar las reglas y, de hecho, proteger contra el compromiso de las credenciales.
Los atacantes todavía roban hashes y realizan ataques de fuerza bruta fuera de línea. Lo que ha cambiado es nuestra comprensión de lo que realmente nos frena. Entonces su próxima política de contraseñas debería reflejar eso. ¿Interesado en probarlo? Programe una demostración en vivo de las políticas de contraseñas de Specops.
Source link
