Una política de contraseñas estricta en tu empresa o en tu hogar es un elemento clave para reforzar la ciberseguridad. Aprovecharse de claves y cuentas comprometidas es una de las tácticas favoritas que los hackers usan para infiltrarse en las organizaciones, mediante ataques que pueden ser peligrosos y tener un alto impacto financiero. Se trata de un método efectivo y requiere a los criminales mucho menos esfuerzo que otros vectores de ataque.
En los últimos años, las recomendaciones de seguridad de las contraseñas han evolucionado más allá de las pautas tradicionales. Hasta ahora, las empresas han venido apoyándose en Microsoft Active Directory, un servicio establecido en uno o varios servidores de una red, en donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los terminales conectados. Desde ese servicio se gestiona también la administración de políticas en toda la red; en concreto la política de contraseñas estándar de Active Directory incluye ajustes mínimos de configuración de contraseñas, como la imposición de un historial de contraseñas, la antigüedad, la longitud o la complejidad de las mismas.
Pero esas políticas de contraseñas creadas con Active Directory son limitadas en cuanto a características y capacidades. Permiten crear reglas básicas de contraseñas, con parámetros como la longitud, complejidad, antigüedad y otros requisitos estándar. Sin embargo, no hay una manera de utilizar la aplicación nativa para implementar la protección activa de contraseñas violadas. Por eso la detección de contraseñas comprometidas es uno de los reflejos esenciales de protección que recomiendan los expertos en ciberseguridad. Y para ponerlo en práctica hay algunos criterios a tener en cuenta cuando sus administradores de sistemas evalúen las soluciones de protección de contraseñas vulneradas.
Monitorización proactiva
Uno de los requisitos esenciales para la protección de las contraseñas vulneradas es la supervisión proactiva. Las organizaciones necesitan soluciones o servicios (compatibles con Active Directory) que comprueben las contraseñas en el momento de su creación, y que además supervisen de forma proactiva el panorama de las contraseñas y las filtraciones en la web para encontrar aquellas que puedan haber quedado expuestas. Esta funcionalidad ayuda a garantizar no sólo que las contraseñas son seguras en el momento de su creación, sino que tampoco han sido comprometidas posteriormente.
Tamaño de la base de datos de contraseñas vulneradas
Ten en cuenta que todos los servicios de protección de contraseñas no son iguales en cuanto al número de claves comprobadas. Las bases de datos de contraseñas violadas pueden variar entre los diferentes servicios; cuanto más amplia sea la base de datos de contraseñas vulneradas, mejor será la protección. Si la cantidad de claves no se comunica de forma transparente, pregunta directamente al proveedor cuántas se incluyen en sus listas.
Cambios proactivos
En relación con la supervisión activa de las contraseñas violadas en un entorno, las organizaciones deben implantar una herramienta que exija a los usuarios finales que cambien sus contraseñas si éstas han sido vulneradas. Esta característica garantiza que cualquier contraseña que haya sido vulnerada en una red se remedie lo más rápidamente posible.