Recomendaciones de directiva de contraseñas para contraseñas de Microsoft 365

Eche un vistazo a todo el contenido de nuestra pequeña empresa sobre el aprendizaje de ayuda para pequeñas empresas.

Como administrador de una organización, usted es el responsable de establecer la directiva de contraseñas para los usuarios de su organización. El establecimiento de la directiva de contraseñas puede resultar complicado y confuso, y en este artículo se proporcionan recomendaciones para que la organización sea más segura frente a ataques de contraseñas.

Las cuentas solo en la nube de Microsoft tienen una directiva de contraseña predefinida que no se puede cambiar. Los únicos elementos que puede cambiar son el número de días hasta que expire una contraseña y si las contraseñas expiran o no.

Para determinar con qué frecuencia expiran las contraseñas de Microsoft 365 en la organización, vea Establecer la directiva de expiración de contraseñas para Microsoft 365.

Para obtener más información acerca de las contraseñas de Microsoft 365, vea:

Restablecer contraseñas (artículo)

Establecer la contraseña de un usuario individual para que nunca expire (artículo)

Permitir que los usuarios puedan restablecer sus propias contraseñas (artículo)

Volver a enviar la contraseña de un usuario (artículo)

Hora de replantearse los cambios de contraseña obligatorios.

Comprender las recomendaciones de contraseña

Los procedimientos recomendados para las contraseñas se dividen en algunas amplias categorías:

• Resisten los ataques comunes esto implica la elección del lugar donde los usuarios introducen las contraseñas (dispositivos conocidos y de confianza con una detección de malware, sitios validados) y la elección de la contraseña que debe elegir (longitud y unicidad).

• Refrenan ataques exitosos el contener ataques de hackers satisfactoriamente consiste en limitar la exposición a un servicio específico, o bien evitar que se produzcan daños, en caso de que se robe la contraseña de un usuario. Por ejemplo, si se asegura de que una infracción de las credenciales de la red social no haga que su cuenta bancaria sea vulnerable, o no permita que una cuenta guardada mal protegida acepte vínculos de restablecimiento de una cuenta importante.

• Entender la naturaleza humana muchos de los procedimientos válidos de contraseñas no se encuentran en el comportamiento humano natural. Comprender la naturaleza humana es fundamental porque la investigación muestra que casi todas las reglas que impones a los usuarios se traducen en un debilitamiento de la calidad de las contraseñas. Los requisitos de longitud, los requisitos de caracteres especiales y los requisitos de cambio de contraseña todos provocan la normalización de las contraseñas, lo que hace que resulte más fácil averiguar o descifrar contraseñas.

Instrucciones de contraseña para administradores

El principal objetivo de un sistema de contraseña más seguro es la diversidad de las contraseñas. Desea que la Directiva de contraseñas contenga una gran cantidad de contraseñas distintas y difíciles de adivinar. Estas son algunas recomendaciones para mantener su organización lo más segura posible.

• Mantenga un requisito de longitud mínima de ocho caracteres

• No solicite requisitos de composición de caracteres. Por ejemplo, *&(^%$

• No requiera una configuración de contraseña periódica obligatoria para cuentas de usuario.

• Prohíba las contraseñas comunes para evitar el uso de las contraseñas más vulnerables en el sistema.

• Instruya a los usuarios para que no reutilicen las contraseñas de su organización con fines no relacionados con el trabajo

• Exija el registro para la autenticación multifactor

• Habilitación de desafíos de autenticación multifactor basada en riesgos

Guía de contraseñas para los usuarios

Esta es una guía de contraseñas para los usuarios de su organización. Asegúrese de que los usuarios sepan estas recomendaciones y apliquen las directivas de contraseñas recomendadas en el nivel de organización.

• No use una contraseña igual o similar a una que use en otros sitios web

• No use una sola palabra, por ejemplo, contraseña o una frase habitual como Iloveyou

• Hacer que las contraseñas sean difíciles de adivinar, incluso por personas que saben mucho de ti, como los nombres y cumpleaños de tus amigos y familiares, tus bandas favoritas y frases que te gusta usar

Algunos métodos comunes y sus repercusiones negativas

Son algunas de las prácticas de administración de contraseñas más usadas, pero la investigación nos advierte sobre sus impactos negativos.

Requisitos de expiración de contraseña para usuarios

Los requisitos de expiración de contraseñas hacen más daño que bien, ya que hacen que los usuarios seleccionen contraseñas predecibles, compuestas de palabras secuenciales y números estrechamente relacionados entre sí. En estos casos, la contraseña siguiente puede predecirse en función de la contraseña anterior. Los requisitos de expiración de contraseñas no ofrecen ventajas de contención, ya que los ciberdelincuentes casi siempre usan las credenciales en cuanto las obtienen.

Requisitos mínimos de longitud de contraseña

Para animar a los usuarios a pensar en una contraseña única, se recomienda mantener un requisito de longitud mínima razonable de ocho caracteres.

Requerir el uso de varios juegos de caracteres

Los requisitos de complejidad de las contraseñas reducen el espacio clave y provocan que los usuarios actúen de formas predecibles, que hacen más daño que bien. La mayoría de los sistemas aplican algunos niveles de complejidad de contraseña. Por ejemplo, las contraseñas necesitan caracteres de las tres categorías siguientes:

• Caracteres en mayúsculas

• Caracteres en minúsculas

• Caracteres no alfanuméricos

La mayoría de las personas usan patrones similares. Por ejemplo, una letra mayúscula en la primera posición, un símbolo en la última y un número en los últimos 2. Los ciberdelincuentes son conscientes de estos patrones, por lo que ejecutan sus ataques de diccionario con las sustituciones más comunes, "$" para "s", "@" para "a", "1" para "l". Obligar a sus usuarios a elegir una combinación de letras en mayúsculas, minúsculas, dígitos y caracteres especiales tiene un efecto negativo. Algunos requisitos de complejidad incluso evitan que los usuarios usen contraseñas seguras y fáciles de recordar, y obligan a que se encuentren con contraseñas menos seguras y menos fáciles de recordar.

Patrones correctos

En cambio, estas son algunas recomendaciones para favorecer la diversidad de contraseñas.

Prohibir contraseñas comunes

El requisito de contraseña más importante que debe aplicar a los usuarios al crear contraseñas es vetar el uso de contraseñas comunes para reducir la susceptibilidad de la organización a ataques violentos de contraseñas. Las contraseñas de usuario comunes incluyen: abcdefg, contraseña, mono.

Instruya a los usuarios para que no usen las contraseñas de la organización en otro sitio

Uno de los mensajes más importantes que debe darle a los usuarios de su organización es el de no usar la contraseña de la organización en ningún otro sitio. El uso de contraseñas de organización en sitios web externos aumenta en gran medida la probabilidad de que los cibercriminales puedan poner en peligro estas contraseñas.

Exigir registro de Multi-Factor Authentication

Asegúrese de que los usuarios actualizan la información de contacto y seguridad, como una dirección de correo electrónico alternativa, un número de teléfono o un dispositivo registrado para las notificaciones de inserción, de modo que pueden responder a los desafíos de seguridad y recibir notificaciones de eventos de seguridad. La información actualizada de contacto y seguridad ayuda a los usuarios a verificar su identidad si alguna vez olvidan su contraseña o si alguien más intenta hacerse cargo de su cuenta. También proporciona un canal de notificación fuera de banda para eventos de seguridad, como intentos de inicio de sesión o contraseñas modificadas.

Para obtener más información, consulte configurar la autenticación multifactor.

Habilitación de la autenticación multifactor basada en riesgos

La autenticación multifactor basada en riesgos garantiza que, cuando nuestro sistema detecte actividad sospechosa, puede desafiar al usuario para asegurarse de que es el propietario legítimo de la cuenta.

Siguientes pasos

¿Quiere obtener más información acerca de la administración de contraseñas? Estas son algunas lecturas recomendadas:

• Olvide las contraseñas, elija una opción sin contraseñas

• Directrices de contraseñas de Microsoft

• ¿Las contraseñas de web seguras realizan alguna acción?

• Carteras de contraseñas y el usuario de esfuerzo finito

• Prevenir contraseñas vulnerables leyendo las mentes de los usuarios

• Elegir contraseñas seguras

• Tiempo para reconsiderar los cambios en la contraseña obligatoria

Contenido relacionado

Restablecer contraseñas (artículo)
Establecer la contraseña de un usuario individual para que nunca expire (artículo)
Permitir que los usuarios puedan restablecer sus propias contraseñas (artículo)
Volver a enviar la contraseña de un usuario: ayuda para administradores (artículo)