jump to navigation

Seguridad y Contraseñas enero 30, 2009

Posted by admin in Interesantes.
trackback

Comparto con ustedes esté post sumamente interesante que habla sobre las contraseñas:

La única protección de las cuentas de usuario son las contraseñas elegidas por los mismos.

Los usuarios -y en lo que respecta, los administradores- históricamente han sido malos generadores de contraseñas aleatorias y peor aun en mantener el secreto de las mismas. Podemos tener una sensación de seguridad, pero sólo una contraseña débil puede causar la exposición de secretos de la compañía, puede ser utilizada para lanzar con éxito un ataque de denegación de servicio, o sabotear la red. A menos que empleemos métodos de autenticación multielemento para todos los usuarios, debemos implementar configuración de seguridad a las contraseñas.

En Windows Server podemos crear directivas de contraseña a nivel de dominio para todas las cuentas del dominio mediante directivas de grupo, o a nivel de OU para cuentas locales en sistemas que son miembros del dominio.

Valor

Predeterminado 2000/XP

Predeterminado 2003

Rango

Forzar el historial de contraseñas

Una contraseña recordada

24 contraseñas recordadas

0 a 24

Vigencia máxima de la contraseña

42 días

42 días

0 a 999

Vigencia mínima de la contraseña

0 días

1 día

0 a 999

Longitud mínima de la contraseña

0 caracteres

7 caracteres

0 a 14

Las contraseñas deben cumplir los requerimientos de complejidad

Deshabilitado

Habilitado

habilitado/deshabilitado

Almacenar contraseñas usando cifrado reversible

Deshabilitado

Habilitado

 

habilitado/deshabilitado

*Se cambió en Windows Server 2003 para forzar una seguridad mayor que la predeterminada en windows 2000.

  • Podemos forzar a los usuarios a variar sus contraseñas habilitando el historial de contraseñas. Si no la habilitamos el usuario podrá reutilizar una contraseña a pesar incluso de haber caducado.
  • Con la vigencia máxima y mínima configuramos el tiempo durante el que pueden usar una contraseña sin tener que cambiarla y el mínimo que tendrá vigencia –para evitar que un usuario listo la cambie el número de veces establecido en el historial y reúse la antigua.. Esta configuración puede estar sobrescrita por el valor de ‘la contraseña nunca caduca’ en las cuentas, y que normalmente nos sirve en aquéllas cuentas que no necesitan iniciar sesión interactiva y por tanto no es necesario ningún aviso de que la contraseña va a caducar.
  • La longitud mínima obliga a un mínimo de caracteres en la contraseña. Lo recomendado estaría entre 12 y 14 caracteres.
  • Los requerimientos de complejidad, sin entrar en detalles ni motivaciones, obligarán al uso de caracteres incluidos en las siguientes 5 categorías:
    • Letras mayúsculas
    • Letras minúsculas
    • Números
    • Caracteres no alfanuméricos (@#$%&/()=?[]{}<>,.;:~-_|\`^+*)
    • Caracteres Unicode (por ejemplo, €)

    Las cuentas de equipo también tienen contraseña. Cuando un equipo se une a un dominio, se generan una contraseña con l que autenticarse. Esta contraseña es la clave cifrada para configurar canales seguros entre el equipo y los controladores de dominio. La contraseña se genera usando CryptoGenRand y se cambia cada 30 días de manera predeterminada. Un equipo una vez autenticado, las cuentas de equipo pertenecen al grupo de usuarios autenticados, el equipo puede ser objetivo de ataques que pueden comprometer físicamente a mismo y poder ser usado para acceder a recursos seguros permitidos a éste grupo. La contraseña de la cuenta del equipo se asegura por System Key en el equipo local.

    Unas líneas básicas que se recomiendan en la creación de contraseñas son:

    • Evitar el uso de palabras comunes o sin faltas de ortografía, y palabras extranjeras.
    • Evitar el aumento de su longitud añadiendo un dígito.
    • Evitar el uso de palabras que otros pueden fácilmente observar en tu escritorio (equipo preferido, miembros familiares, nombres de mascotas,…).
    • Evitar  el uso de palabras o frases conocidas de la cultura popular (refranes, citas,…)
    • Evitar el pensar en las contraseñas como palabras pensadas como códigos secretos.
    • Usar contraseñas que nos obliguen a utilizar ambas manos escribiendo desde el teclado.
    • Usar letras mayúsculas y minúsculas, número y símbolos en todas las contraseñas.
    • Usar frases como ‘Como hay que saltar a la comba?’
    • Ausencia de restricciones del sistema, apostar siempre por la longitud
    • Envolver la contraseña con caracteres; como BIENBIENBIENBIEN, lo que añadiría 16 caracteres.
    • Usar el carácter espacio en blanco dentro de la contraseña.

     

  • Almacenar las contraseñas utilizando cifrado reversible es un valor de uso en los controladores de dominio.

Una recomendación de configuración sería:

– Recordar 24 contraseñas

– 42 días máximo de vigencia

– 2 días mínimo de vigencia

– 8 caracteres mínimo (mejor 12 a 14)

– Requerir que la contraseña sea compleja.

– Cifrado reversible deshabilitado para los usuarios del dominio.

Configuración de bloqueo de cuentas

También podemos definir directivas de bloqueo de cuentas en todo el dominio o cuentas locales en equipos individuales con las directivas de seguridad local. Deben configurarse tres valores cuando definimos una directiva de bloqueo de cuenta:

Valor Predeterminado Rango
Umbral de bloqueos de la cuenta nada 0, nunca se bloqueará.
1 a 999 intentos.
Duración del bloqueo de cuenta deshabilitado 0, obligará a un administrador a desbloquearla.
1 a 99,999 minutos.
Restablecer la cuenta de bloqueos después de nada 1 a 99,999 minutos. Debe ser menor o igual al establecido para la duración del bloque de cuenta.

Con esto hay que tener presente que un atacante podría llevar acabo una denegación de servicios bloqueando todas las cuentas de usuario, incluyendo las de servicios con la ejecución de un vbscript (ADSI).

Quizás el mejor enfoque sea una correcta preparación de los usuarios para la creación de contraseñas fuertes y una auditoría de los sucesos de inicio de sesión (revisándolos para detectar ataques de fuerza bruta o de diccionario).

Fuente:

A %d blogueros les gusta esto: