Microsoft actualiza la base de referencia de seguridad: caduca la contraseña

Microsoft ha lanzado un proyecto de nivel de seguridad básico para Windows 10 versión 1903, actualizaciones para mayo de 2019 y Windows Server 2019 (v1903).

Si bien puede descargar el borrador y verlo palabra por palabra, también puede ir al blog de orientación de seguridad de Microsoft si solo está interesado en las cosas que han cambiado en comparación con las bases de datos de seguridad para versiones anteriores de Windows.

La publicación del blog destaca, en particular, ocho cambios, y al menos uno puede hacer que la vida de los usuarios de computadoras sea más cómoda. Microsoft ha abandonado su política de caducidad para contraseñas que requieren cambios frecuentes de contraseña sobre los estándares de seguridad básicos para Windows 10 versión 1903 y Windows Server 1903.

Trabajé en el soporte de TI de una importante organización financiera alemana hace más de 15 años. La política de seguridad se fijó en estándares muy altos, y una de las políticas más dolorosas fue seguir los cambios regulares de contraseña. No puedo recordar el intervalo exacto, pero sucedió varias veces al año, y las reglas dictaban que tenía que elegir una contraseña segura, no podía reutilizar ninguna parte de una contraseña existente y tenía que seguir ciertas pautas con respecto a elegir una clave.

antigüedad máxima de la contraseña

Esto dio lugar a muchas solicitudes de apoyo de empleados que no recordaban sus contraseñas, y otros anotaron sus nuevas contraseñas porque no las recordaban.

Microsoft explica el motivo de la cancelación de la política de caducidad de la contraseña en la publicación del blog. Microsoft menciona los mismos problemas que tuve cuando trabajaba en TI:

Cuando las personas eligen sus propias contraseñas, con demasiada frecuencia son fáciles de adivinar o predecir. Cuando a las personas se les asigna u obliga a crear contraseñas que son difíciles de recordar, con demasiada frecuencia las escriben donde otros pueden verlas. Cuando las personas se ven obligadas a cambiar sus contraseñas, con demasiada frecuencia realizan cambios pequeños y predecibles en las contraseñas existentes y/u olvidan sus nuevas contraseñas.

Microsoft señala que las políticas de caducidad de contraseñas solo ayudan en un escenario: cuando las contraseñas se ven comprometidas. Si la contraseña no se descifra, no hay necesidad de cambiar las contraseñas regularmente.

El período de caducidad de la contraseña predeterminado se establece en 60 días y, para Windows, en 42 días. En la línea de base anterior era de 90 días; es largo y poco efectivo, ya que la contraseña comprometida no se puede cambiar durante semanas o incluso meses para que un atacante pueda usarla durante este período.

La caducidad periódica de la contraseña es una mitigación anticuada y obsoleta de un valor muy bajo, y no creemos que se deba cumplir ningún valor específico para nuestro nivel base.

Microsoft señala que otros métodos de seguridad mejoran en gran medida la seguridad, incluso si no son básicos. Microsoft menciona explícitamente la autenticación de dos factores, el monitoreo de acciones de inicio de sesión inusuales o el ingreso a una lista negra de contraseñas.

Otros cambios que merecen atención:

  • Negarse a deshabilitar por la fuerza el administrador de Windows incorporado y la cuenta de invitado.
  • Abandone ciertos métodos de cifrado de disco de BitLocker y configuraciones de intensidad de cifrado.
  • Deshabilite la resolución de nombres de multidifusión.
  • Configuración "Permitir que los programas de Windows activen la voz cuando el sistema está bloqueado".
  • Habilitar la política "Habilitar la configuración de mitigación de svchost.exe".
  • Deshabilitar el Explorador de archivos "Deshabilitar la prevención de ejecución de datos para el Explorador" y "Deshabilitar la finalización del montón en daños".
  • Restrinja NetBT NodeType al nodo P, prohíba el uso de transmisiones para registrar o resolver nombres y mitigue las amenazas de fraude del servidor.
  • Agregue la configuración de auditoría recomendada para el servicio de autenticación de Kerberos.

Ahora tu: ¿Cómo te sientes acerca de la política de caducidad de la contraseña?

Artículos de interés

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir