Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Con Azure AD Password Protection y Smart Lockout ¡se acabaron las contraseñas vulnerables!

En el mundo de la  tecnología no hay nada más vulnerable que el usuario y sus malas prácticas, impulsadas principalmente por el exceso de confianza, despreocupación y desconocimiento. La mala práctica más extendida es el uso de contraseñas débiles y predecibles, y es que habitualmente los usuarios utilizan contraseñas que les resulte fácil de recordar y/o reutilizan las mismas contraseñas una y otra vez.

Los hackers utilizan diferentes técnicas para descubrir contraseñas de usuarios, técnicas como por ejemplo la fuerza bruta. También existen otros métodos para comprometer cuentas de usuarios, como el phishing, si bien éste quedaría protegido activando la autenticación multi-factor, tal y como explicamos en artículos anteriores.

En este artículo vamos a hablar de Azure AD Password Protection y Smart Lockout (disponible en preview) que nos ayudará a acabar con las contraseñas fáciles de adivinar en nuestro entorno, lo que reducirá drásticamente el riesgo de vernos comprometidos por un ataque de robo de contraseñas. Sus características son:

  • Protege las cuentas de Azure AD y Windows Server AD evitando que los usuarios utilicen alguna de las contraseñas recopiladas en una lista dinámica de más de 500 contraseñas comúnmente utilizadas, así como más de 1 millón de variaciones de ellas.
  • Azure AD Password Protection se administra desde el portal de Azure AD tanto para Azure AD como para Windows Server AD, ofreciendo así una experiencia de administración unificada.
  • Aunque Azure Smart Lockout cuenta con una configuración predeterminada lista para usar, se puede establecer una configuración personalizada incluyendo las contraseñas específicas que deseemos añadir.

 

Azure AD Password Protection

Muchos usuarios pueden pensar que usar una contraseña que cumpla los requisitos de complejidad (Ej. Passw0rd!) puede ser suficiente, lo cual es un error. Los usuarios  cometemos errores muy predecibles, como por ejemplo:

  1. El reemplazo de caracteres como @ por A, $ por A, así como los reemplazos alfanuméricos.
  2. También es muy curioso que cuando hay reglas de complejidad, la mayoría de los usuarios utilizan el mismo patrón:
    1. Comienzan una palabra con una letra en mayúscula.
    2. Terminan con un dígito, punto o símbolo dólar. Por esa razón Microsoft recomienda eliminar las reglas de complejidad y en su defecto seguir las recomendaciones de NIST.
  3. El requisito de que los usuarios tengan que cambiar sus contraseñas periódicamente, conduce a otros patrones predecibles.

Muchos os habéis sentido identificados con los puntos que acabamos de mencionar, y por ello debemos considerar que la solución a todo esto es aplicar un sistema de contraseña prohibida como Azure AD Password Protection, que sigue las recomendaciones de NIST para cuentas de Microsoft Account y Azure AD.

La funcionalidad de Azure AD Password Protection (disponible como preview en Azure AD Premium P1) es impulsada por Azure AD, que actualiza regularmente sus listas de contraseñas prohibidas, aprendiendo de millones de autenticaciones y análisis exhaustivos de credenciales filtradas en la web.

Azure AD Smart Lockout

Como ya sabréis, tanto en Azure como en Office365 existen ciertos servicios inteligentes de detección de amenazas. Smart Lockout es un sistema de bloqueo inteligente que utiliza la inteligencia de la nube para reconocer y diferenciar los inicios de sesión de usuarios válidos de atacantes u otras fuentes desconocidas. Esto permite el bloqueo a los atacantes mientras sus legítimos usuarios puedan seguir accediendo a los servicios sin interrumpir su trabajo.

De manera predeterminada, Smart Lockout estará habilitado para todos los usuarios de cualquier versión de Azure AD (inclusive de Office 365). Contamos con una configuración predeterminada que conserva un equilibro ideal de seguridad/usabilidad, pero en todo momento podremos personalizarlo según nuestras necesidades más específicas.

Cómo activar Azure AD Password Protection

De manera predeterminada, Azure AD Password Protection está disponible para usuarios de Azure AD Premium, pero no activado.

Una vez activemos, empezará a funcionar sobre todas las operaciones de asignación y restablecimiento de contraseñas.

Para activar Azure AD Password Protection, nos vamos al panel de Azure AD > Seguridad > Métodos de autenticación y lo activamos, así de sencillo.

Ahora vamos a centrarnos en dos importantes acciones:

  • Configurar una lista personalizada de contraseñas prohibidas.
  • Configurar Azure AD Passowrd Protection en Windows Server AD.

 

Configuración personalizada de protección de contraseñas

En este punto vamos a establecer una configuración personalizada para la protección de contraseñas. Especificaremos un umbral de bloqueo inteligente, así como cuánto tiempo durará el bloqueo.

  • Bloqueo inteligente personalizado: Nos permite establecer el umbral de bloqueo inteligente, que corresponde el número de intentos fallidos hasta el primer bloqueo y tiempo que durará de bloqueo en segundos.
  • Contraseñas prohibidas personalizadas: Podemos añadir nuestra propia lista personalizada de contraseñas prohibidas, una por línea.
  • Protección con contraseña de Windows Server AD: Nos permite extender la protección de contraseña prohibida a Windows Server AD habilitándolo desde este punto. Es muy interesante empezar a trabajar con estas características con el modo auditar, ya que nos dará la oportunidad de evaluar el estado actual de nuestra organización. Una vez finalicemos un plan de acción, podremos cambiar el modo a Forzado para comenzar a proteger a nuestros usuarios evitando el uso de contraseñas débiles.

Instalar Azure AD Password Protection en onprem

Obviamente necesitamos habilitar la protección con contraseña en Windows Server AD (punto anterior), pero además necesitamos:

  1. Descargar Azure AD password protection for Windows Server AD desde el Centro de descarga de Microsoft.
  2. Seguir detenidamente sus instrucciones de implementación.

¿Qué piensas de todo esto? Esperamos que te haya gustado el artículo y sobre todo, que te haya resultado de utilidad 🙂

mm

Sobre Dani Alonso

Daniel Alonso es un apasionado de todas las tecnologías y plataformas, experto en ciberseguridad y soluciones cloud. Cuenta con más de 17 años de experiencia en ciberseguridad y arquitectura IT y desde 2011 forma parte del equipo de MVPs de Microsoft. Actualmente es Cloud Solutions Principal Advisor en ENCAMINA, puesto desde el cual se encarga de seguir impulsando nuestro liderazgo en soluciones Cloud y Office 365.
Esta entrada ha sido publicada en Azure, seguridad. Enlace permanente.
ENCAMINA, piensa en colores