Seguridad: contraseñas

La única protección de las cuentas de usuario son las contraseñas elegidas por los mismos.

Los usuarios -y en lo que respecta, los administradores- históricamente han sido malos generadores de contraseñas aleatorias y peor aun en mantener el secreto de las mismas. Podemos tener una sensación de seguridad, pero sólo una contraseña débil puede causar la exposición de secretos de la compañía, puede ser utilizada para lanzar con éxito un ataque de denegación de servicio, o sabotear la red. A menos que empleemos métodos de autenticación multielemento para todos los usuarios, debemos implementar configuración de seguridad a las contraseñas.

En Windows Server podemos crear directivas de contraseña a nivel de dominio para todas las cuentas del dominio mediante directivas de grupo, o a nivel de OU para cuentas locales en sistemas que son miembros del dominio.

Valor

Predeterminado 2000/XP

Predeterminado 2003

Rango

Forzar el historial de contraseñas

Una contraseña recordada

24 contraseñas recordadas

0 a 24

Vigencia máxima de la contraseña

42 días

42 días

0 a 999

Vigencia mínima de la contraseña

0 días

1 día

0 a 999

Longitud mínima de la contraseña

0 caracteres

7 caracteres

0 a 14

Las contraseñas deben cumplir los requerimientos de complejidad

Deshabilitado

Habilitado

habilitado/deshabilitado

Almacenar contraseñas usando cifrado reversible

Deshabilitado

Habilitado

habilitado/deshabilitado

*Se cambió en Windows Server 2003 para forzar una seguridad mayor que la predeterminada en windows 2000.

  • Podemos forzar a los usuarios a variar sus contraseñas habilitando el historial de contraseñas. Si no la habilitamos el usuario podrá reutilizar una contraseña a pesar incluso de haber caducado.
  • Con la vigencia máxima y mínima configuramos el tiempo durante el que pueden usar una contraseña sin tener que cambiarla y el mínimo que tendrá vigencia –para evitar que un usuario listo la cambie el número de veces establecido en el historial y reúse la antigua.. Esta configuración puede estar sobrescrita por el valor de ‘la contraseña nunca caduca’ en las cuentas, y que normalmente nos sirve en aquéllas cuentas que no necesitan iniciar sesión interactiva y por tanto no es necesario ningún aviso de que la contraseña va a caducar.
  • La longitud mínima obliga a un mínimo de caracteres en la contraseña. Lo recomendado estaría entre 12 y 14 caracteres.
  • Los requerimientos de complejidad, sin entrar en detalles ni motivaciones, obligarán al uso de caracteres incluidos en las siguientes 5 categorías:
    • Letras mayúsculas
    • Letras minúsculas
    • Números
    • Caracteres no alfanuméricos (@#$%&/()=?[]{}<>,.;:~-_|`^+*)
    • Caracteres Unicode (por ejemplo, €)

    Las cuentas de equipo también tienen contraseña. Cuando un equipo se une a un dominio, se generan una contraseña con l que autenticarse. Esta contraseña es la clave cifrada para configurar canales seguros entre el equipo y los controladores de dominio. La contraseña se genera usando CryptoGenRand y se cambia cada 30 días de manera predeterminada. Un equipo una vez autenticado, las cuentas de equipo pertenecen al grupo de usuarios autenticados, el equipo puede ser objetivo de ataques que pueden comprometer físicamente a mismo y poder ser usado para acceder a recursos seguros permitidos a éste grupo. La contraseña de la cuenta del equipo se asegura por System Key en el equipo local.

    Unas líneas básicas que se recomiendan en la creación de contraseñas son:

    • Evitar el uso de palabras comunes o sin faltas de ortografía, y palabras extranjeras.
    • Evitar el aumento de su longitud añadiendo un dígito.
    • Evitar el uso de palabras que otros pueden fácilmente observar en tu escritorio (equipo preferido, miembros familiares, nombres de mascotas,…).
    • Evitar  el uso de palabras o frases conocidas de la cultura popular (refranes, citas,…)
    • Evitar el pensar en las contraseñas como palabras pensadas como códigos secretos.
    • Usar contraseñas que nos obliguen a utilizar ambas manos escribiendo desde el teclado.
    • Usar letras mayúsculas y minúsculas, número y símbolos en todas las contraseñas.
    • Usar frases como ‘Como hay que saltar a la comba?’
    • Ausencia de restricciones del sistema, apostar siempre por la longitud
    • Envolver la contraseña con caracteres; como BIENBIENBIENBIEN, lo que añadiría 16 caracteres.
    • Usar el carácter espacio en blanco dentro de la contraseña.
  • Almacenar las contraseñas utilizando cifrado reversible es un valor de uso en los controladores de dominio.

Una recomendación de configuración sería:

– Recordar 24 contraseñas

– 42 días máximo de vigencia

– 2 días mínimo de vigencia

– 8 caracteres mínimo (mejor 12 a 14)

– Requerir que la contraseña sea compleja.

– Cifrado reversible deshabilitado para los usuarios del dominio.

Configuración de bloqueo de cuentas

También podemos definir directivas de bloqueo de cuentas en todo el dominio o cuentas locales en equipos individuales con las directivas de seguridad local. Deben configurarse tres valores cuando definimos una directiva de bloqueo de cuenta:

Valor Predeterminado Rango
Umbral de bloqueos de la cuenta nada 0, nunca se bloqueará.
1 a 999 intentos.
Duración del bloqueo de cuenta deshabilitado 0, obligará a un administrador a desbloquearla.
1 a 99,999 minutos.
Restablecer la cuenta de bloqueos después de nada 1 a 99,999 minutos. Debe ser menor o igual al establecido para la duración del bloque de cuenta.

Con esto hay que tener presente que un atacante podría llevar acabo una denegación de servicios bloqueando todas las cuentas de usuario, incluyendo las de servicios con la ejecución de un vbscript (ADSI).

Quizás el mejor enfoque sea una correcta preparación de los usuarios para la creación de contraseñas fuertes y una auditoría de los sucesos de inicio de sesión (revisándolos para detectar ataques de fuerza bruta o de diccionario).

3 comentarios sobre “Seguridad: contraseñas”

  1. martin, creo que eso depende de la solucion que se tenga, ya que por ejemplo si se configura para que los documentos esten en el server y no en la pc cliente… es justo para que uno desde cualquier lado pueda ver sus documentos :), ese es un ejemplo ;), en cambio lo que dice juansa es mas generico, que deberia aplicarse en cualquier tipo de ambiente.

    Salu2

    Ddaz

  2. La verdad es que en el entorno en el que me muevo es bastante variopinto: es decir, hay muchos usuarios con su puesto de trabajo (y su equipo) y muchos otros que comparten 5 o 6 equipos, porque no están de continuo trabajando en ellos y además van a turnos.
    Prefiero muchas veces utilizar limitlogin y evitar que vayan abriendo sesiones en diversos equipos y delimitar el tiempo de inactividad de la sesión, más que establecer una política de inicio en determinados equipos.
    En todo caso, iniciar sesión en equipos concretos suele ser engorroso a la larga, aunque necesario en ciertos casos.

Responder a mojeda Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *