8 oct 2024

Política de contraseñas con lista de palabras de diccionario personalizada

Si su organización es como muchas, es posible que sus empleados dependan de contraseñas débiles o fáciles de adivinar y, sin darse cuenta, estén extendiendo la alfombra roja a los ciberdelincuentes en el proceso.

Entonces, ¿cómo evitar que su personal deje las claves de los datos y sistemas de su organización bajo el proverbial felpudo? Integrar un diccionario personalizado en su política de contraseñas debería ser parte de la solución.

¿Qué son los diccionarios personalizados?

Los diccionarios personalizados son listas especializadas de palabras, frases y combinaciones de caracteres que los usuarios finales tienen prohibido utilizar al crear sus contraseñas. Un diccionario personalizado debería ser mucho más que una lista de palabras estándar; debe incluir términos específicos de su organización, así como palabras y frases comunes asociadas con su industria.

Básicamente, incorporar un diccionario personalizado en su política de contraseñas le brinda a su organización una capa adicional de defensa dirigida contra ataques basados ​​en credenciales.

¿Por qué se necesitan diccionarios personalizados?

Los diccionarios personalizados son importantes por numerosas razones:

  • Los usuarios finales crean contraseñas débiles o fáciles de adivinar: incluso con sus mejores esfuerzos educativos, los humanos somos criaturas de hábitos, lo que significa que muchos usuarios optarán por contraseñas fáciles de recordar (y, por lo tanto, fáciles de adivinar). Estos incluyen información personal (el nombre de su cónyuge), palabras comunes (admin, contraseña) o variaciones simples de contraseñas prohibidas (¡qwerty123!). Otra opción tentadora y memorable es elegir palabras relacionadas con su negocio o industria específica.
  • Riesgo de ataques de fuerza bruta/diccionario híbrido: los ciberdelincuentes frecuentemente emplean ataques de fuerza bruta y de diccionario híbrido para descifrar contraseñas, y si no tienes un diccionario personalizado, este tipo de ataques pueden ser extremadamente efectivos. Por ejemplo, pueden agregar el nombre y los productos de su organización a sus diccionarios de ataques, con la esperanza de que al menos un puñado de usuarios finales hayan utilizado estos términos en sus contraseñas.
  • Ingeniería social y ataques dirigidos: los ciberdelincuentes pueden recopilar fácilmente información sobre su organización y sus empleados a través de las redes sociales y otras fuentes públicas. Luego, pueden utilizar esta información para crear listas de palabras específicas para sus intentos de descifrar contraseñas. Asegurarse de que su diccionario personalizado incluya términos específicos de la empresa e información común de los empleados puede ayudar a frustrar estos ataques.
  • Vulnerabilidades específicas de la industria: cada industria tiene su jerga y términos de uso común, y los piratas informáticos utilizan este conocimiento para orientar mejor sus ataques a contraseñas. No olvide reforzar su diccionario personalizado con la jerga de la industria: es una forma sencilla de agregar una capa adicional de seguridad a su política de contraseñas.

Ejemplos de diccionarios personalizados

Para comprender mejor el concepto de diccionarios personalizados, imagine que maneja TI para "Mid Cheshire NHS Foundation Trust", una fundación regional de atención médica. Mientras crea diccionarios personalizados para su organización, querrá incluir palabras y términos como:

Términos de la industria

Como en otras industrias, los profesionales de la salud suelen utilizar la jerga de la industria al crear contraseñas. Para proteger mejor su organización, querrá asegurarse de que su diccionario personalizado incluya términos que un atacante familiarizado con el sector de la salud podría probar primero. Los ejemplos incluyen:

  • NHS (National Health Service)
  • A&E (Accident and Emergency)
  • Triage
  • Outpatient
  • Inpatient

Términos específicos de la organización

Los términos exclusivos de su organización estarían entre las primeras conjeturas para cualquiera que se dirija a ella específicamente. Para reducir el riesgo de estos ataques dirigidos, asegúrese de que su diccionario personalizado impida su uso en las contraseñas. Los ejemplos incluyen:

  • Mid Chesire
  • NE (acronym)
  • Foundation trust
  • Ward names (e.g., Nightingale, Florence)
  • Department names (e.g., Radiology, Pathology)
  • Hospital building names (e.g., Victoria Wing)

Patrones de contraseña comunes

Además de los términos específicos de la industria y la organización, desea evitar que los usuarios dependan de formatos comunes y fáciles de adivinar. Prohibir a los usuarios seguir patrones de contraseña comunes los obligará a crear contraseñas únicas. Los ejemplos incluyen:

  • NHS2024!
  • Welcome123!
  • ChangeMe1!
  • NurseRN2024
  • Dr[Lastname]2024

La integración de diccionarios personalizados en sus políticas de contraseñas ayudará a mejorar la seguridad de su organización, manteniendo seguros a sus usuarios, datos y sistemas. 

Una herramienta gratuita como Specops Password Auditor puede ser una buena opción. Esta herramienta permite crear e importar fácilmente listas personalizadas de contraseñas prohibidas, integrándolas perfectamente en su entorno de Active Directory.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!