En el mundo de la tecnología no hay nada más vulnerable que el usuario y sus malas prácticas, impulsadas principalmente por el exceso de confianza, despreocupación y desconocimiento. La mala práctica más extendida es el uso de contraseñas débiles y predecibles, y es que habitualmente los usuarios utilizan contraseñas que les resulte fácil de recordar y/o reutilizan las mismas contraseñas una y otra vez.
Los hackers utilizan diferentes técnicas para descubrir contraseñas de usuarios, técnicas como por ejemplo la fuerza bruta. También existen otros métodos para comprometer cuentas de usuarios, como el phishing, si bien éste quedaría protegido activando la autenticación multi-factor, tal y como explicamos en artículos anteriores.
En este artículo vamos a hablar de Azure AD Password Protection y Smart Lockout (disponible en preview) que nos ayudará a acabar con las contraseñas fáciles de adivinar en nuestro entorno, lo que reducirá drásticamente el riesgo de vernos comprometidos por un ataque de robo de contraseñas. Sus características son:
Muchos usuarios pueden pensar que usar una contraseña que cumpla los requisitos de complejidad (Ej. Passw0rd!) puede ser suficiente, lo cual es un error. Los usuarios cometemos errores muy predecibles, como por ejemplo:
Muchos os habéis sentido identificados con los puntos que acabamos de mencionar, y por ello debemos considerar que la solución a todo esto es aplicar un sistema de contraseña prohibida como Azure AD Password Protection, que sigue las recomendaciones de NIST para cuentas de Microsoft Account y Azure AD.
La funcionalidad de Azure AD Password Protection (disponible como preview en Azure AD Premium P1) es impulsada por Azure AD, que actualiza regularmente sus listas de contraseñas prohibidas, aprendiendo de millones de autenticaciones y análisis exhaustivos de credenciales filtradas en la web.
Como ya sabréis, tanto en Azure como en Office365 existen ciertos servicios inteligentes de detección de amenazas. Smart Lockout es un sistema de bloqueo inteligente que utiliza la inteligencia de la nube para reconocer y diferenciar los inicios de sesión de usuarios válidos de atacantes u otras fuentes desconocidas. Esto permite el bloqueo a los atacantes mientras sus legítimos usuarios puedan seguir accediendo a los servicios sin interrumpir su trabajo.
De manera predeterminada, Smart Lockout estará habilitado para todos los usuarios de cualquier versión de Azure AD (inclusive de Office 365). Contamos con una configuración predeterminada que conserva un equilibro ideal de seguridad/usabilidad, pero en todo momento podremos personalizarlo según nuestras necesidades más específicas.
De manera predeterminada, Azure AD Password Protection está disponible para usuarios de Azure AD Premium, pero no activado.
Una vez activemos, empezará a funcionar sobre todas las operaciones de asignación y restablecimiento de contraseñas.
Para activar Azure AD Password Protection, nos vamos al panel de Azure AD > Seguridad > Métodos de autenticación y lo activamos, así de sencillo.
Ahora vamos a centrarnos en dos importantes acciones:
En este punto vamos a establecer una configuración personalizada para la protección de contraseñas. Especificaremos un umbral de bloqueo inteligente, así como cuánto tiempo durará el bloqueo.
Obviamente necesitamos habilitar la protección con contraseña en Windows Server AD (punto anterior), pero además necesitamos:
¿Qué piensas de todo esto? Esperamos que te haya gustado el artículo y sobre todo, que te haya resultado de utilidad 🙂
Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)