Pautas de contraseñas del NIST

• La longitud de la contraseña es más importante que la complejidad de la contraseña: Contrario al pensamiento convencional, las contraseñas más largas son más difíciles de descifrar que las complejas si son robadas. La longitud de la contraseña recomendada por el NIST es de un mínimo de ocho caracteres.
• Restablecimientos de contraseña periódicos: El NIST recomienda restablecer la contraseña solo cuando se sospeche que la contraseña se ha visto comprometida, de modo que los usuarios no creen contraseñas idénticas a las antiguas, lo que podría suceder si se les solicita que cambien las contraseñas con regularidad.
• Verificar las contraseñas nuevas comparando con listas de contraseñas utilizadas comúnmente y comprometidas: Todas las contraseñas nuevas deben revisarse para asegurarse de que no son contraseñas de uso común, palabras del diccionario, números o letras secuenciales, o contraseñas comprometidas.

• Activar la opción para mostrar la contraseña al escribir: Al mostrar la contraseña a los usuarios mientras escriben, es más probable que la escriban correctamente en el primer intento, eliminando así los bloqueos de cuenta y restablecimientos de contraseña innecesarios.
• Permitir pegar las contraseñas: Evitar que los usuarios peguen texto en el campo de contraseña puede ralentizar la creación de cuentas y el inicio de sesión, motivando así a los usuarios a establecer contraseñas débiles.
• No utilizar pistas para recordar la contraseña: El NIST recomienda encarecidamente no usar sugerencias de contraseña o hacer preguntas de seguridad para ayudar a los usuarios a recordar sus contraseñas, ya que pueden servir como indicaciones para que incluso los atacantes adivinen las contraseñas.
• Limitar el número de intentos fallidos de contraseña antes del bloqueo de cuenta: Al limitar el número de intentos fallidos de contraseña, se pueden frenar los ataques de fuerza bruta.
• Usar la autenticación multifactor (MFA): Usa otros factores de autenticación además de las contraseñas puede frustrar los ataques de phishing al hacer que la cuenta sea inaccesible incluso si la contraseña se ha visto comprometida.

• Proteger las bases de datos: El acceso a las bases de datos que contienen las contraseñas de los usuarios debe limitarse solo al personal esencial para que las actividades de los hackers estén restringidas.
• Contraseñas salt y hash: De acuerdo con los estándares del NIST, las contraseñas deben tener salt con al menos 32 bits de datos y hash con una función de derivación de clave unidireccional (como PBKDF2 o Balloon).

These settings include mandating the number of special, numeric, and Unicode characters. You can also set the type of character with which the password must begin.

Satisfaga los requisitos de contraseña del NIST configurando la inclusión de caracteres alfanuméricos en las contraseñas.

Estas configuraciones ayudan a restringir el uso de caracteres consecutivos de nombres de usuario o contraseñas anteriores. También se puede restringir la repetición consecutiva del mismo carácter.

Restrinja a los usuarios para que no reutilicen sus contraseñas anteriores durante la creación de contraseñas.

La configuración de esta pestaña ayuda a restringir palabras, patrones y palíndromos del diccionario personalizados que podrían usarse comúnmente.

Restrict users from using common patterns, dictionary words, and palindromes in their passwords.

TEstas reglas le permiten establecer un número mínimo y máximo de caracteres para la contraseña.

Configure la longitud mínima y máxima de la contraseña para satisfacer las pautas de contraseñas del NIST.