Mejores prácticas para la gestión de contraseñas

Aplique directivas de contraseñas más estrictas con ADSelfService Plus

En esta página encontrará

Explicación de las directivas de contraseñas
Elementos esenciales de una buena directiva de contraseña
Cumplimiento y directivas de contraseñas
Qué hacer y no hacer al establecer directivas de contraseñas
Implemente directivas de contraseñas estrictas con ADSelfService Plus
Preguntas frecuentes

Explicación de las directivas de contraseñas

Una directiva de contraseña define los requisitos y las normas que deben seguir los usuarios a la hora de establecer y gestionar sus contraseñas dentro de una organización. Estas reglas pueden variar según la organización e incluyen criterios como la longitud, la complejidad, la antigüedad y el historial de la contraseña. Al aplicar una directiva de contraseña, las organizaciones garantizan que los usuarios creen contraseñas seguras, lo que reduce el riesgo de infracciones debido a ataques relacionados con contraseñas.

Elementos esenciales de una buena directiva de contraseña

Una directiva de contraseña rigurosa es crucial para garantizar la seguridad e integridad de los activos organizacionales y los datos de los usuarios. A continuación, se indican los elementos esenciales de una buena directiva de contraseña.

Longitud mínima de la contraseña: Aplique una longitud mínima para las contraseñas (por ejemplo, al menos 12 caracteres), ya que las contraseñas más largas son más difíciles de descifrar.
Caducidad de la contraseña: Implemente una directiva de caducidad de la contraseña que obligue a los usuarios a cambiarla con regularidad (por ejemplo, cada 90 días). Esto ayuda a reducir el riesgo de acceso a largo plazo de las contraseñas comprometidas.
Requisitos de complejidad de la contraseña: Fomente el uso de una mezcla de letras mayúsculas, minúsculas, números y caracteres especiales. Esta complejidad hace que sea más difícil para los atacantes adivinar o descifrar las contraseñas.
Historial de contraseñas: Aplique una directiva que impida a los usuarios reutilizar sus contraseñas anteriores en un número determinado de ciclos (por ejemplo, las cinco últimas contraseñas). Esto ayuda a detener el riesgo de utilizar credenciales comprometidas.
Autenticación multifactor (MFA): Al implementar la MFA, está añadiendo una capa adicional de seguridad a su cuenta. Esto requiere una segunda forma de verificación, como un código por mensaje de texto o una aplicación de autenticación, además de su contraseña. Usar un factor que usted posea (por ejemplo, YubiKey) o algo inherente a usted (por ejemplo, biometría) garantiza que sólo usted pueda acceder a sus cuentas.
Mecanismos de bloqueo de la cuenta: Establezca los procedimientos para bloquear la cuenta tras un número determinado de intentos fallidos de inicio de sesión. Esto ayuda a controlar los ataques de fuerza bruta al limitar el número de veces que un atacante puede intentar adivinar la contraseña.

Ataques de fuerza bruta

Las normas de cumplimiento se actualizan periódicamente basándose en la información de los hackers éticos y en las violaciones de seguridad del pasado. Esto es lo que recomiendan estas normativas a la hora de crear una buena directiva de contraseña.

Normativa de cumplimiento	Descripción	Directrices recomendadas
El GDPR (Reglamento General de Protección de Datos)	El GDPR comprende normas colectivas para recopilar, almacenar y procesar los datos sensibles y personales de un individuo.	Las contraseñas no deben contener palabras del diccionario. No se deben reutilizar las contraseñas anteriores. Más información sobre GDPR.
HIPAA(Ley de Responsabilidad y Portabilidad del Seguro de Salud)	La HIPAA comprende normas cuyo objetivo es proteger la información relacionada con la salud de las personas que manejan las organizaciones.	Las contraseñas deben tener al menos ocho caracteres. Las contraseñas deben ser únicas pero fáciles de recordar para el individuo. Más información sobre HIPAA.
The PCI DSS(Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago)	El PCI DSS comprende normas que deben cumplir las empresas que procesan datos sensibles de titulares de tarjetas.	Las contraseñas deben cifrarse durante su almacenamiento. Los usuarios deben autenticarse con técnicas de MFA además de con sus credenciales. Más información sobre PCI DSS.
The Essential Eight	The Essential Eight comprende normas que pretenden mejorar la ciberdefensa general de las organizaciones.	Los usuarios deben autenticarse con técnicas de MFA además de con sus credenciales. Tanto a los administradores como a los usuarios se les deben conceder los privilegios mínimos necesarios para acceder a los recursos de acuerdo con sus roles. Más información sobre The Essential Eight.
CJIS (Servicios de Información de Justicia Penal)	Las directrices de los CJIS comprenden normas para proteger la integridad de los datos relativos a las investigaciones criminales.	Las contraseñas se deben cambiar cada 90 días. Las contraseñas no deben contener partes de su nombre de usuario ni palabras del diccionario. Más información sobre CJIS.
SOX (Ley Sarbanes-Oxley)	La SOX comprende normas para proteger a los accionistas frente a los fraudes financieros que se producen en las organizaciones.	No se deben utilizar contraseñas de uso común. Los usuarios deben autenticarse con técnicas de MFA además de con sus credenciales. Más información sobre SOX.
NIST (Instituto Nacional de Estándares y Tecnología)	Las directrices del NIST comprenden normas para crear contraseñas seguras que se actualizan periódicamente basándose en los datos de hackers éticos.	Evite proporcionar pistas a los usuarios mientras ingresan sus contraseñas. La longitud de la contraseña debe primar sobre la complejidad. Más información sobre NIST.

Qué hacer y no hacer al establecer directivas de contraseñas

Unas directivas de contraseñas efectivas ayudan a proteger los recursos organizacionales a la vez que garantizan que los usuarios puedan adherirse fácilmente a las directrices. A continuación, se indican las prácticas clave que se deben seguir y los errores más comunes que se deben evitar al establecer directivas de contraseñas.

No utilice contraseñas de uso común, como "Contraseña", su nombre o una palabra del diccionario. Estas contraseñas pueden ser comprometidas fácilmente por los atacantes que utilicen un ataque de diccionario.
No utilice secuencias o patrones de teclado en su contraseña.
No utilice contraseñas predeterminadas, ya que son las primeras que intentarán los atacantes en los ataques relacionados con contraseñas.
No utilice información que está disponible fácilmente, como su fecha de nacimiento, su número de teléfono o el número de su matrícula. Un atacante puede ser cualquier persona, incluso alguien que lo conoce bien. Su primer instinto será utilizar la información asociada a usted para intentar una violación.
Utilice claves de acceso siempre que sea posible.
No reutilice las contraseñas en varias cuentas, ya que podría resultar en ataques de relleno de credenciales.
No comparta las contraseñas, ni siquiera con sus familiares o amigos más cercanos. Nunca puede estar seguro de quién puede volverse en su contra.
No escriba sus contraseñas en ningún sitio, ya sea online u offline. Si le resulta difícil recordar sus contraseñas, utilice un gestor de contraseñas.
Cambie todas sus contraseñas cada 90 días. Asegúrese de no establecer una contraseña que ya haya establecido en el pasado.

Implemente directivas de contraseñas estrictas con ADSelfService Plus

ADSelfService Plus es una solución de seguridad de identidades con funciones de MFA, SSO y gestión de contraseñas. Proporciona una función de controlador de la política de contraseña que le permite aplicar directivas de contraseñas personalizadas que se integran de manera eficiente con las directivas de contraseñas integradas de AD. Estas directivas personalizadas ofrecen un control más granular del que ofrece AD de forma nativa, incluyendo ajustes intrincados como restricciones sobre palabras de diccionario personalizadas, palíndromos y repeticiones de caracteres. ADSelfService Plus también se integra con Have I Been Pwned para evitar que sus usuarios utilicen contraseñas que fueron violadas. Además, si implementa MFA junto con una directiva de contraseña estricta, podrá mejorar aún más la seguridad, garantizando que, aunque las contraseñas se vean comprometidas, se siga impidiendo el acceso no autorizado.

Aplique ya mismo directivas de contraseñas estrictas en su organización.

Obtener una prueba gratis

Preguntas frecuentes

¿Qué se entiende por directiva de contraseña?

¿Cuál es un ejemplo de una buena directiva de contraseña?

Una buena directiva de contraseña requiere que los usuarios establezcan contraseñas que tengan un mínimo de 12 caracteres e incluyan una combinación de números, símbolos, y letras mayúsculas y minúsculas.

¿Cuál es un ejemplo de una mala directiva de contraseña?

Una mala directiva de contraseña permite a los usuarios establecer contraseñas sin un límite de longitud mínima. Esto no es recomendable, ya que las contraseñas más largas son más difíciles de descifrar para los atacantes.

¿Por qué es importante una directiva de contraseña?

Una directiva de contraseña es importante ya que las contraseñas sirven como primera línea de defensa, haciendo que sea más difícil para los atacantes acceder a información organizacional sensible a través de varios ataques de contraseñas.

Solicitud de Notificación de Actualizaciones de ADSelfService Plus