Como ya sabe, Microsoft ha cambiado su guía de política de caducidad de contraseña. En mayo de 2019, publicaron
una publicación en el blog explicando la decisión.
Los expertos en ciberseguridad saben que la persona promedio tiene una contraseña que es conveniente ingresar y, por lo tanto, fácil de obtener en una computadora. Al mismo tiempo, la necesidad de cambiarlo una vez cada pocos meses no cambia el hecho de que tales contraseñas son fáciles de aprender. El poder de las computadoras modernas le permite forzar una contraseña de 8 caracteres alfanuméricos en pocas horas. Cambiar uno o dos de los ocho caracteres no dificultará la tarea.
Ha pasado mucho tiempo desde el lanzamiento de las recomendaciones de Microsoft, y es hora de sacar conclusiones, ¿vale la pena deshacerse por completo de la caducidad de las contraseñas? De hecho, no es tan simple.
La política de caducidad de contraseña es solo uno de los ladrillos en el muro de ciberseguridad. No obtenga uno de los ladrillos de la pared si no tiene otros métodos de protección para compensar esta acción. Por lo tanto, es mejor centrarse en los factores de riesgo más grandes de la organización y elaborar una estrategia de ciberseguridad de manera que se reduzcan.
¿Por qué deshacerse de las políticas de caducidad de contraseña?
El argumento de Microsoft sobre este tema es que las políticas de caducidad de contraseña son de poco valor en términos de seguridad de la información. Como resultado, ya no recomiendan su uso y excluyeron este elemento de la estructura del nivel fundamental de seguridad cibernética de Microsoft.
Pero Microsoft no solicita deshabilitar todas sus políticas de contraseña de inmediato. Solo le informan que su estrategia de seguridad necesita algo más que el vencimiento de las contraseñas.
¿Debo eliminar la política de contraseña?
La mayoría de las organizaciones deben dejar la política de caducidad de contraseña sin cambios. Piense en la siguiente pregunta simple: ¿qué sucede si un usuario le roba una contraseña?
Las políticas de contraseña ayudan a reducir la presión del atacante al bloquear su canal de acceso vital dentro de la red. Cuanto más corta es la contraseña, menos tiempo queda para comprometer el sistema y los datos de salida (a menos que el atacante use otro punto de entrada). Microsoft cree que las mismas políticas, destinadas inicialmente a eliminar las contraseñas comprometidas de la rotación, de hecho solo fomentan las malas prácticas, por ejemplo, la reutilización y la iteración débil (vesna2019, leto2019, zima2019) de contraseñas, hojas de trucos en monitores, etc.
En una palabra, Microsoft cree que el riesgo de prácticas de contraseña incorrecta es en realidad mayor que los beneficios de implementar políticas de caducidad. En Varonis, en parte, estamos de acuerdo con esto, pero de hecho existe un fuerte malentendido de lo que la compañía necesita estar preparada para rechazar tales políticas.
Este cambio mejora en gran medida la experiencia del usuario y es fácil de implementar, pero al final existe la posibilidad de que solo aumente los riesgos generales si no sigue otras mejores prácticas en la industria, como:
- Frases secretas : forzar contraseñas largas (16 o más caracteres) y complejas aumenta la dificultad de romperlas. El antiguo estándar de al menos 8 caracteres se descifra en unas pocas horas en las PC modernas.
- modelo de acceso mínimo necesario : en un mundo donde la constancia nunca se viola, es fundamental saber que el usuario tiene acceso solo a la cantidad mínima necesaria de datos.
- seguimiento del comportamiento : debe poder detectar el compromiso de la cuenta en función de las desviaciones del inicio de sesión normal y el uso de datos no estándar. Simplemente analizar estadísticas en este caso no ayudará.
- Autenticación multifactor : incluso si el atacante conoce el nombre de usuario y la contraseña, la autenticación multifactor es un obstáculo serio para el atacante promedio.
¿Las contraseñas finalmente están muriendo?
Esa es la pregunta principal, ¿no?
Existen varias tecnologías que buscan reemplazar las contraseñas como un protocolo de autenticación de facto. FIDO2 almacena credenciales en un dispositivo físico. La biometría, a pesar de las dudas sobre "singularidad pero falta de privacidad", también es una opción potencial.
El nuevo paradigma es buscar métodos de autenticación que no puedan
transmitirse accidentalmente o robarse fácilmente . Pero hasta ahora, tales tecnologías no han llegado desde empresas
sectores en la corriente principal. Hasta entonces, Varonis recomienda que no se modifiquen las políticas de caducidad de su contraseña, y considere que las molestias de los usuarios son pequeñas en nombre del bien común.
Cómo Varonis ayuda a proteger contra el robo de identidad
Varonis proporciona protección adicional para mejorar sus políticas de contraseña. Hacemos un seguimiento de la actividad de archivos, eventos en
Active Directory ,
telemetría perimetral y otros recursos para construir un modelo básico de comportamiento del usuario. Luego lo comparamos con el comportamiento actual basado en los
modelos de amenaza incorporados para comprender si la cuenta está comprometida.
El panel de Active Directory muestra cuentas que están en riesgo de comprometerse, como cuentas de servicio con privilegios administrativos, una contraseña sin fecha de vencimiento o incumplimiento de los requisitos especificados en las políticas. Los modelos de amenazas también revelan varias variantes de anomalías de inicio de sesión, como ingresar a una hora no estándar del día, ingresar desde un nuevo dispositivo, una fuerza bruta potencial o un ataque de recolección de boletos.
Hasta entonces, es mejor dejar las políticas de caducidad de contraseña vigentes.
Y si quieres ver a Varonis en acción, regístrate para nuestra
demostración en vivo de ataques cibernéticos . Mostraremos cómo llevar a cabo un ataque y demostraremos cómo detectar e investigar dichos incidentes en función de nuestra plataforma.