12 jul. 2021

Diccionario personalizados de contraseñas para organizaciones

Las políticas de contraseñas modernas se componen de muchos elementos diferentes que contribuyen a su eficacia. Uno de los componentes de una política de contraseñas actual efectiva hace uso de lo que se conoce como un diccionario personalizado que filtra ciertas palabras que no están permitidas como contraseñas en el entorno.

Al usar diccionarios personalizados, las organizaciones pueden mejorar significativamente su postura de ciberseguridad y filtrar contraseñas obvias que brindan poca seguridad a las cuentas de los usuarios.

Al usar diccionarios de contraseñas en su política de contraseñas, hay muchos enfoques diferentes a considerar. Primero, consideremos la posibilidad de crear un diccionario personalizado para su política de contraseñas, incluida una guía general sobre cómo se crean, configuran y cómo puede usar fácilmente diccionarios personalizados en un entorno de directorio activo.

¿Por qué personalizar un diccionario?

Los diccionarios personalizados nacen de la necesidad de "pensar como piensa un atacante". Las credenciales comprometidas son una de las principales causas de violaciones de datos maliciosas en todos los ámbitos. También son uno de los más costosos para las organizaciones. El informe del costo de una violación de datos de IBM 2020, las credenciales comprometidas aumentaron el costo total promedio de una violación a U$S 4.77 millones.

Los delincuentes informáticos a menudo utilizan ataques basados ​​en credenciales para comprometer contraseñas débiles, contraseñas que han sido violadas anteriormente, contraseñas comunes utilizadas en un sector empresarial específico o transformaciones ortográficas comunes.

Desafortunadamente, todos tendemos a usar contraseñas que podemos recordar fácilmente. Además, los usuarios finales a menudo agregan números o patrones de símbolos comunes al principio o al final de las contraseñas para sortear los requisitos de complejidad de las contraseñas.

Tanto la naturaleza humana como las herramientas tecnológicas disponibles permiten descifrar o adivinar fácilmente contraseñas débiles, estándar o esperadas. Si bien los atacantes tienen acceso a grandes bases de datos de contraseñas infringidas y, por lo demás, comunes o débiles, los "buenos" pueden implementar un archivo de contraseñas de una buena manera: el diccionario personalizado.

El diccionario de contraseñas personalizado funciona a favor de proteger las contraseñas en su entorno. Cuando se implementa, el diccionario personalizado proporciona un medio para filtrar la contraseña elegida o los usuarios finales de tal manera que no se permiten contraseñas o variaciones de las contraseñas contenidas en el diccionario personalizado.

Entonces, ¿no son seguras todas las contraseñas que cumplen con los requisitos de la Política de contraseñas de Active Directory? No exactamente. Si bien los requisitos de la política de contraseñas definidos por la Política de contraseñas de Active Directory son un buen punto de partida, dejan mucho que desear al considerar el descifrado y otras herramientas de contraseñas que los ciberdelincuentes están utilizando en la actualidad.

Por ejemplo, una política de contraseñas puede requerir que un usuario final cumpla con los siguientes requisitos:

  • Mínimo de 8 caracteres
  • La contraseña debe cumplir con los requisitos de complejidad (debe contener mayúsculas, minúsculas, números y caracteres no alfabéticos, como símbolos)

Con la configuración nativa de la Política de contraseñas de Active Directory, un usuario podría establecer contraseñas como:

Las contraseñas anteriores cumplen con todos los criterios definidos como parte de los requisitos de longitud y complejidad. Sin embargo, son débiles y fáciles de adivinar debido a diferentes razones. Como muestran los ejemplos anteriores, estas podrían ser variantes conocidas de palabras comunes como "Password", relacionadas con el nombre de su empresa o industria específica, o una frase común contenida en una base de datos de contraseñas descifrada como "Letmein1$".

Diccionarios de contraseñas personalizadas descargables

Es posible que no desee "reinventar la rueda" cuando se trata de recopilar contraseñas para usar en un diccionario personalizado para su política de contraseñas. Hay diccionarios de contraseñas y archivos de contraseñas listos para usar que se pueden descargar libremente como base para un diccionario de contraseñas personalizado. Un ejemplo incluye la lista de contraseñas Have I been Pwned: Have I Been Pwned.

Las empresas también pueden utilizar herramientas fácilmente disponibles como Crunch, disponible en Kali Linux o instalable desde el repositorio de distribución de Linux.

Emplear un filtro de contraseña 

Sin embargo, es más complicado que simplemente crear un archivo de diccionario de contraseñas. Las organizaciones que deseen implementar su propio filtro de contraseña personalizado, deben para instalar el archivo .DLL necesario para la funcionalidad de filtro de contraseña en Active Directory.

Microsoft describe el proceso de registro e instalación de un archivo .DLL de filtro de contraseña aquí.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!