Tanto los sistemas modernos de Windows (por ejemplo, Windows Server 2008 y 2008 R2) como Active Directory, como los sistemas Linux y Solaris, le permiten configurar políticas de contraseña que determinan qué tan largas y complejas deben ser las contraseñas de sus usuarios, proporcionando una primera línea de defensa para sus sistemas. Si sus sistemas Unix se autentican en AD, este es el lugar para especificar todos sus requisitos de contraseña. Si Active Directory es solo uno de los muchos lugares donde se configuran las políticas de contraseñas, es una buena idea asegurarse de que se utilicen buenas contraseñas. Tener estándares de complejidad similares en toda la empresa es una buena estrategia, ya que refuerza la importancia de las buenas contraseñas en mantener sus sistemas seguros.

Windows y Active Directory le permiten especificar una serie de parámetros para hacer cumplir la seguridad de la contraseña. Los valores predeterminados se enumeran en la tabla siguiente.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Historial de contraseñas: cuántas contraseñas recordará el sistema. Con el valor predeterminado, ninguna de las 24 contraseñas anteriores se puede reutilizar cuando un usuario cambia su contraseña. .

Antigüedad máxima de la contraseña: cuánto tiempo se puede usar una contraseña antes de que deba cambiarse. Si se cambia, generalmente se establece en unos 90 días. Esto significa que sus contraseñas deben cambiarse cada pocos meses.

Antigüedad mínima de la contraseña: cuánto tiempo deben esperar los usuarios antes de poder Ingrese una contraseña nuevamente. Si los usuarios pudieran cambiar sus contraseñas inmediatamente y el sistema solo recordara algunas de las contraseñas anteriores, sería fácil para ellos resucitar sus contraseñas actuales, esencialmente usando la misma contraseña para siempre. Si los obliga a usar cada contraseña nueva durante algunos días, la probabilidad de que vuelvan a usar la contraseña original es mínima. Si la espera fuera de dos días y se recordaran diez contraseñas, se necesitarían 20 días para volver a la contraseña original. En ese momento, incluso las contraseñas más inteligentes probablemente habrán perdido su atractivo.

El inconveniente de las políticas de antigüedad mínima de las contraseñas es que sus usuarios no podrán cambiar sus contraseñas de inmediato incluso si creen que las contraseñas se han visto comprometidas. Debe tener esto en cuenta si elige esta opción y asegúrese de que haya una línea directa disponible para cambios de contraseña de emergencia.

Requisitos de complejidad de la contraseña: incorpora un número de los requisitos que se configuran por separado en los sistemas Linux y Solaris. Si esta configuración está habilitada, como está de forma predeterminada, las contraseñas deben tener al menos seis caracteres y deben contener caracteres de tres de los siguientes: caracteres en mayúscula, caracteres en minúscula, dígitos (0-9), caracteres especiales (p. Ej.,!, #, $) Y caracteres Unicode. Además, la contraseña no debe contener más de dos caracteres del nombre de usuario (siempre que el nombre de usuario tenga tres o más caracteres).

Longitud mínima de la contraseña: cuántos los caracteres deben incluirse en las contraseñas de los usuarios. Si bien este valor predeterminado es 7, algo entre 8 y 12 es una mejor opción. Es probable que sus usuarios se resistan a tener que recordar cuatro caracteres adicionales, así que esté preparado para ofrecer algunas sugerencias sobre cómo hacer que las contraseñas más largas sean memorables, como agregar un par de dígitos en cada extremo, anteponer las contraseñas con el cumpleaños de su mejor amigo ( p. ej., 0323) o configurar las contraseñas para que sean una frase corta como «want2goHome!». Recuérdeles que escribir sus contraseñas es siempre una muy mala idea, pero que escribir algo que les recuerde sus contraseñas podría estar bien, especialmente si no No deje en claro que es una contraseña que están tratando de recordar.

Duración del bloqueo de la cuenta: cuántos minutos permanece bloqueada una cuenta bloqueada antes de desbloquearse. Sin embargo, si se establece en 0, la contraseña permanece bloqueada hasta que un administrador (alguien autorizado para realizar este tipo de cambios) la desbloquea. Sin embargo, esta configuración depende del umbral de bloqueo de la cuenta. En otras palabras, si no especifica que las cuentas se bloquearán después de varios intentos fallidos de iniciar sesión, no tiene importancia especificar cuánto tiempo estarán bloqueadas.

Umbral de bloqueo de la cuenta: el número de intentos fallidos de inicio de sesión consecutivos que provocarán el bloqueo de una cuenta. Si se establece en 0 (el valor predeterminado), las cuentas nunca se bloquean.

El único inconveniente de la configuración del umbral de bloqueo de la cuenta es que permite a un usuario bloquear la cuenta de otro usuario.

Restablecer el contador de bloqueo de la cuenta después de: cuántos minutos deben transcurrir antes de que un contador de bloqueo se restablezca a 0 (es decir, la cuenta está desbloqueada). Esto puede oscilar entre 1 minuto y 99,999. Debe ser menor o igual que la duración del bloqueo de la cuenta.

Haga cumplir las restricciones de inicio de sesión de los usuarios: si el Centro de distribución de claves Kerberos valida cada solicitud de un ticket de sesión según la política de derechos de usuario en una computadora en particular.

Duración máxima del ticket de servicio: tiempo máximo que se puede utilizar un ticket de sesión. Esto significa que el sistema de autenticación subyacente a Windows (Kerberos) debe revalidar una conexión en el intervalo especificado.

Duración máxima del ticket de usuario: tiempo máximo que puede utilizarse el ticket de concesión de ticket de un usuario. Después de eso ha transcurrido el tiempo (predeterminado 10 horas), debe renovarse.

Vida útil máxima para la renovación del ticket del usuario: define el período de tiempo dentro del cual se puede utilizar y renovar un ticket.

Tolerancia máxima para la sincronización del reloj de la computadora: define la diferencia de tiempo máxima permitida entre la hora del reloj del cliente y el controlador de dominio. Está destinado a prevenir lo que se denominan «ataques de reproducción» en los que una transmisión de datos válida se repite o se retrasa de forma maliciosa o fraudulenta.

La configuración predeterminada para contraseñas en Windows y Active Directory son bastante razonables, aunque cambiaría la longitud mínima de la contraseña de 7 caracteres a algo más alto. Si bien las funciones de bloqueo hacen que el éxito de los ataques de contraseña por fuerza bruta sea muy poco probable, si esto está configurado y no lo está de forma predeterminada, es probable que establecer las expectativas de los usuarios de que la contraseña debe tener más de 8 caracteres mejorará la seguridad de otras cuentas que utilicen .