Contraseñas seguras. Aplicando Directivas de grupo (Parte 1)

De sobra es conocido por todos, que debido a nuestra condición humana, tendemos a la comodidad. Intentamos siempre obtener el máximo beneficio, en cualquier área de nuestra vida, utilizando el mínimo gasto de recursos. Esta máxima que se cumple en prácticamente todas las facetas de nuestra vida, no lo es menos cuando nos sentamos frente a un ordenador y nos dejan total libertad, mes tras mes, para que cambiemos nuestra contraseña en nuestro puesto de trabajo de la empresa.

Son muchas las ocasiones en las que me he encontrado con claves de un solo dígito o letra y a poder ser bien cerca de la tecla Enter, por eso de no tener que mover mucho la mano. Pero lo mas común sin duda es el binomio formado por usuario/password con el nombre de cada cual, por ejemplo: javi/javi, pepe/pepe, etc…

Si tenemos cierta inquietud en el ámbito de la seguridad o bien tenemos en mente comenzar a implantar LOPD, debemos saber que Windows provee de una serie de herramientas que nos ayudarán a fortificar la creación de dichas contraseñas y obligará a nuestros usuarios a cumplir una serie de normas a la hora de generar las mismas.

Opciones relacionadas con directivas de contraseñas

En Windows 2000, Windows XP y Windows Server 2003 se pueden configurar seis opciones relacionadas con las características de contraseñas: Forzar el historial de contraseñas, Vigencia máxima de la contraseña, Vigencia mínima de la contraseña, Longitud mínima de contraseña, Las contraseñas deben cumplir los requerimientos de complejidad y Almacenar contraseñas usando cifrado reversible.

Vamos a pasar ahora a detallar en que consiste cada uno de ellos:

Forzar el historial de contraseñas determina el número de contraseñas nuevas exclusivas que un usuario debe utilizar para poder volver a usar una contraseña antigua. El valor de esta opción puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opción de forzar el historial de contraseñas. Para la mayoría de las organizaciones, este valor debe estar establecido en 24 contraseñas.

Vigencia máxima de la contraseña determina el número de días que un usuario puede utilizar una contraseña antes de que se le obligue a cambiarla. El valor de esta opción puede estar comprendido entre 0 y 999; si se establece en 0, las contraseñas no caducan nunca. La definición de un valor bajo para esta opción puede resultar frustrante para los usuarios. Para la mayoría de las organizaciones, este valor debe estar establecido en 42 días.

Vigencia mínima de las contraseñas determina el número de días que un usuario puede conservar una nueva contraseña hasta que pueda cambiarla. Esta opción está diseñada para utilizarla junto con la opción Forzar el historial de contraseñas, de forma que los usuarios no puedan restablecer rápidamente sus contraseñas tantas veces como sea necesario para luego cambiar a sus contraseñas antiguas. El valor de esta opción puede estar comprendido entre 0 y 999; si se establece en 0, los usuarios podrán cambiar inmediatamente sus nuevas contraseñas. El valor recomendado es dos días.

Longitud mínima de la contraseña determina el número mínimo de caracteres que puede tener una contraseña. Aunque Windows 2000, Windows XP y Windows Server 2003 admiten contraseñas de hasta 28 caracteres de longitud, el valor de esta opción sólo puede estar comprendido entre 0 y 14. Si se establece en 0, los usuarios podrán tener contraseñas en blanco, por lo que no debe utilizar este valor. El valor recomendado es 8 caracteres.

Las contraseñas deben cumplir los requerimientos de complejidad determina si la complejidad de las contraseñas es obligatoria. Si se habilita esta opción, las contraseñas de los usuarios deben satisfacer los siguientes requisitos:

• La contraseña debe tener seis caracteres como mínimo.
• La contraseña contiene caracteres de al menos tres de las cinco clases siguientes:
• Caracteres en mayúsculas del alfabeto inglés (A – Z)
• Caracteres en minúsculas del alfabeto inglés (a – z)
• Dígitos en base 10 (0 – 9)
• Caracteres no alfanuméricos (por ejemplo: !, $, # o %)
• Caracteres Unicode
• La contraseña no contiene tres o más caracteres del nombre de cuenta del usuario.
• Si el nombre de cuenta es menor de tres caracteres de longitud, esta comprobación no se realiza porque la probabilidad de que se rechazaran las contraseñas es demasiado alta. Cuando se comprueba el nombre completo del usuario, varios caracteres se tratan como delimitadores que separan el nombre en elementos individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de libra esterlina y tabuladores. Se buscará en la contraseña todos los elementos que tengan una longitud de tres o más caracteres. Si se encuentra alguno, se rechazará el cambio de contraseña. Por ejemplo, el nombre “Susana F Medrano” se dividiría en tres elementos: “Susana”, “F” y “Medrano”. Como el segundo elemento sólo tiene un carácter, se omite. Por tanto, este usuario no podría tener una contraseña que incluyera “susana” o “medrano” como una subcadena en la contraseña. En todas estas comprobaciones no se distingue entre mayúsculas y minúsculas.
• Estos requisitos de complejidad se exigen al cambiar la contraseña o al crear una nueva. Se recomienda que habilite esta opción.

Almacenar contraseñas usando cifrado reversible proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan conocer la contraseña del usuario para la autenticación. Almacenar contraseñas mediante cifrado reversible es básicamente lo mismo que almacenar versiones de texto sin formato de las contraseñas. Por este motivo, esta directiva no debe habilitarse nunca salvo que se considere más importante satisfacer los requisitos de las aplicaciones que proteger la información de las contraseñas.

Bueno, y hasta aquí en la entrega para hoy. En la próxima entrega veremos como configurar una consola personalizada  para generar una directiva de grupo, dentro de Microsoft Management Console.

Fuente: Microsoft

Si deseas ampliar tus conocimientos sobre como generar contraseñas robustas, no puedes perderte el siguiente articulo que nuestro amigo Chema Alonso publica en su blog Un informatico en el lado del mal.

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Sobre PRÓXIMA

Próxima ofrece Consultoría y asesoría TIC, Servicios informáticos y Cloud Computing (servicios en la nube) a empresas, desde Tudela - Navarra.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies