Basándose en la investigación realizada a partir de miles de millones de intentos de inicio de sesión en su servicio en la nube Azure, Microsoft actualiza sus recomendaciones sobre contraseñas y descarta varias de las mejores prácticas del sector.
Microsoft ha publicado recientemente un libro blanco, "Guía de contraseñas de Microsoft" que explica su nueva guía de contraseñas, basada en la enorme cantidad de datos que están recopilando en el inicio de sesión de Azure AD. (Ven más de 10 millones de ataques de nombre de usuario / contraseña cada día.) Algunos de ellos son lo que usted podría pensar... pero algunos de ellos desafían la sabiduría convencional de contraseña.
La autora (Robyn Hicock, del equipo de protección de identidades de Microsoft, con una larga lista de colaboradores de sus compañeros de equipo, Microsoft Research y Microsoft IT) afirma que las prácticas de contraseñas que se han mantenido durante mucho tiempo fracasan ante los modernos ataques orientados a las credenciales. Además, algunas de estas políticas en realidad aumentan la facilidad con la que las contraseñas pueden verse comprometidas y, por lo tanto, deberían cambiarse o abandonarse por completo.
Microsoft recomienda siete acciones para proporcionar la máxima protección de identidad basada en contraseña:
- Mantenga un requisito de longitud mínima de 8 caracteres (y más largo no es necesariamente mejor).
- Eliminar los requisitos de composición de caracteres.
- Eliminar los restablecimientos periódicos obligatorios de contraseña para las cuentas de usuario.
- Prohíba las contraseñas comunes, para mantener las contraseñas más vulnerables fuera de su sistema.
- Eduque a sus usuarios para que no vuelvan a utilizar su contraseña para fines no relacionados con el trabajo.
- Imponer el registro para la autenticación multifactor.
- Habilite desafíos de autenticación multifactor basados en el riesgo.
Veamos las recomendaciones más inusuales que afectan directamente a cómo una organización establecería su política de contraseñas de dominio.
Acabar con los antipatrones
Mantenga un requisito de longitud mínima de 8 caracteres. Microsoft Research ha descubierto que las contraseñas web largas y complejas son una carga para los usuarios (no es de extrañar), pero en realidad tienen una eficacia limitada por varias razones. La solidez de la contraseña es irrelevante si el usuario es sorprendido en un ataque de phishing y la proporciona, o tiene un malware de registro de pulsaciones en su sistema. Estos son los ataques más comunes según los autores. La contraseña sólo tiene que ser lo suficientemente fuerte como para resistir una regla de bloqueo del tipo "tres strikes". Ten en cuenta que, aunque este estudio trata sobre las contraseñas web, no hay razón para que no se aplique también a las contraseñas de Active Directory (y a tu propia política de bloqueo).
Eliminar los requisitos de composición de caracteres. Es una buena idea en abstracto, pero Microsoft y otros (Bruce Schneierpor ejemplo) han descubierto que, ante los requisitos de complejidad de las contraseñas, la gente cae en unos cuantos patrones reconocibles que los programas de descifrado de contraseñas aprovechan. Por ejemplo, resulta que una contraseña típica consiste en una raíz que suele ser algo pronunciable más un sufijo como un número. Y sí, saben que usas "$" en lugar de "s", "!" en lugar de "i", etc.
Eliminar los cambios periódicos obligatorios de contraseña para las cuentas de usuario. Los cambios periódicos de contraseña, de nuevo una buena idea en principio, fallan cuando se pasan por el cerebro humano. ¿Por qué? Porque la gente tiende a hacer su nueva contraseña basándose en la anterior, de una manera muy predecible. Además, dado que los delincuentes utilizan las contraseñas tan pronto como las comprometen, no hay ninguna ventaja en la contención (es decir, las advertencias del tipo "Hemos sido comprometidos; por favor, cambie su contraseña para evitar que su cuenta sea hackeada" llegan demasiado tarde).
El consejo actualizado tanto de Schneier como de Microsoft es que, a menos que creas que tu contraseña puede estar en peligro, no la cambies. Yo modificaría esta recomendación para decir que fortalezcas tus contraseñas con el tiempo, pero no intentes hacer un seguimiento de ellas por ti mismo: inclínate ante nuestros amos robóticos y utiliza una utilidad como LastPass para generar contraseñas largas, complejas e inmemorables y almacenarlas en su bóveda encriptada. Así sólo tendrás que recordar una contraseña compleja: la contraseña maestra de tu bóveda. Una vez que cedes la gestión a una utilidad de este tipo, es realmente liberador; puedes crear al instante una contraseña peluda de 18 caracteres como "wO2AECJ^OZhbXwY#0Y" para un sitio web y tener la seguridad de que es prácticamente indescifrable.
Aplicar patrones de éxito
Prohíba las contraseñas comunes. Microsoft cree que el paso más importante que puede dar para la seguridad es prohibir una lista de contraseñas débiles conocidas (por ejemplo, abcdefg, passw0rd, etc.) de su sistema para fortalecerlo contra ataques de fuerza bruta. Microsoft ha descubierto que prohibir estas contraseñas (lo que hacen para Azure AD) es muy eficaz para eliminar las contraseñas débiles del sistema.
Si estás leyendo esto en una empresa tradicional, probablemente estés pensando: "Todo esto está muy bien, pero ¿cómo implemento una política de este tipo para mi entorno Active Directory local?". Si usted es un tipo AD como yo, usted sabe que esto requiere un filtro de contraseña personalizado que debe ser instalado en todos los controladores de dominio AD, y Microsoft no proporciona capacidades de prohibición de contraseña fuera de la caja.
Existen productos de terceros como Anixis Password Policy Enforcer o nFront Password Filter que sí proporcionan esta capacidad. Según se informa, Microsoft está trabajando en su propio soporte para esta capacidad; en su feed de twitter, la autora dice "Tenemos algo en marcha para esto. Stay tuned", pero, por supuesto, no hay forma de saber cuándo estará disponible. Dado que esta capacidad tendría que integrarse con Windows Server Active Directory, el tiempo que tarde dependerá de cómo se implemente. Si forma parte de Active Directory, el tiempo para integrarse profundamente en Windows Server 2016 ya ha pasado, lo que significa una espera de dos años hasta que se lance la próxima versión de Windows Server. Un filtro de contraseñas actualizado (passfilt.dll) puede estar disponible como descarga en cualquier momento.
Eduque a sus usuarios para que no vuelvan a utilizar su contraseña para fines no relacionados con el trabajo. No es difícil suponer que, una vez que un usuario ha establecido lo que considera una buena contraseña para el trabajo, la volvería a utilizar para otros sitios. Por desgracia, es una práctica tan común que los delincuentes siempre prueban credenciales comprometidas en muchos sitios; Microsoft ve 12 millones de credenciales filtradas (Microsoft mantiene una gran lista de credenciales comprometidas) probadas contra sus sistemas cada día.
Es una pauta muy difícil de imponer, porque sólo se puede hacer con la educación de los usuarios. Y es una batalla cuesta arriba porque se lo pone más difícil a los usuarios.
Imponer el registro para la autenticación multifactor. Las empresas y los grandes proveedores de SaaS están adoptando rápidamente la autenticación multifactor (MFA). Disponer de un segundo conjunto de información de seguridad (como una dirección de correo electrónico alternativa o un número de teléfono móvil) que pueda verificarse fuera de banda supone una mejora drástica de la seguridad. Activa la MFA siempre que puedas. Sí, puede ser una pequeña molestia, pero es mucho menos molesta que una cuenta comprometida.
Habilitar desafíos de autenticación multifactor basados en el riesgo. Este patrón lleva la MFA al siguiente nivel, activando una solicitud de MFA cuando se detecta una actividad sospechosa (como una dirección IP geográficamente diferente a aquella con la que el usuario ha iniciado sesión anteriormente). Esto, por supuesto, requiere que la capacidad esté disponible en su sistema de seguridad de inicio de sesión.
Tenga en cuenta que si su empresa tiene requisitos de cumplimiento, es posible que no pueda poner en práctica algunas o todas estas sugerencias. No obstante, siempre es bueno estar al tanto de lo que ocurre en el mundo real. Y no hay nada más real que los datos de un lugar con 10 millones de ataques diarios.
