Resolver las vulnerabilidades de sus contraseñas

PasswordIQ analiza los usuarios de Active Directory en busca de 11 tipos de vulnerabilidades en las contraseñas. Después de recibir los resultados del análisis, puede trabajar con sus usuarios para resolver las vulnerabilidades de contraseña que PasswordIQ detecte. Para saber cómo ver los resultados de su análisis, consulte nuestro artículo Cómo utilizar el tablero de PasswordIQ. 

Para saber cómo puede resolver las vulnerabilidades de las contraseñas de sus usuarios, consulte las siguientes secciones. Para obtener información general sobre PasswordIQ, consulte nuestro Manual del producto PasswordIQ.

Ir a:

Contraseña débil

Contraseña compartida

Contraseña no cifrada

Contraseña vacía

Cifrado solo DES

Contraseña vulnerada

Contraseña no obligatoria

La contraseña nunca caduca

Contraseña hash de LM

Claves AES faltantes

Autenticación previa faltante

Contraseña débil

Cuando PasswordIQ detecta una contraseña débil, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que su contraseña actual es una contraseña débil.
2. Pídale al usuario que cambie su contraseña.
3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas seguras. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore.

Regresar al principio

Contraseña compartida

Si PasswordIQ detecta una contraseña compartida, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que su contraseña actual es una contraseña compartida.
2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas únicas. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore. 

Regresar al principio

Contraseña no cifrada

Si PasswordIQ detecta una contraseña no cifrada para un usuario o un grupo de usuarios, se puede habilitar la configuración de cifrado reversible para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la opción Store password using reversible encryption (Almacenar contraseña mediante cifrado reversible).

Si PasswordIQ detecta una contraseña no cifrada para todos sus usuarios, la configuración de cifrado reversible puede establecerse en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
3. Abra la contraseña de la tienda utilizando la política de cifrado reversible. 

Regresar al principio

Contraseña vacía

Si PasswordIQ detecta una contraseña vacía, la configuración de Longitud mínima de contraseña puede establecerse en 0 en su política de grupo. Esta configuración permite que las contraseñas tengan cero caracteres.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
3. Abra la política Longitud mínima de contraseña.

Regresar al principio

Cifrado solo DES

Si PasswordIQ detecta cifrado solo DES, se puede habilitar la configuración de cifrado DES para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la opción Use Kerberos DES encryption types for this account (Utilizar tipos de cifrado Kerberos DES) para esta cuenta.

Regresar al principio

Contraseña vulnerada

Si PasswordIQ detecta una contraseña vulnerada, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que se puede acceder a su contraseña actual debido a una violación de seguridad de datos.
2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
3. Asigne al usuario la última versión de nuestra Capacitación en concientización sobre seguridad de Kevin Mitnick para prepararlo ante posibles ataques de ingeniería social. Es más probable que los ciberdelincuentes elijan a los usuarios que están involucrados en violaciones de seguridad de datos. 

Regresar al principio

Contraseña no obligatoria

Si PasswordIQ detecta una contraseña que no es obligatoria, se puede establecer el indicador PASSWD_NOTREQD en el atributo userAccountControl de la cuenta. Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Habilite las características avanzadas (View > Advanced Features avanzadas [Ver > Características avanzadas]).
3. Vaya a las propiedades de la cuenta del usuario.
4. Seleccione la pestaña Attribute Editor (Editor de atributos).
5. Busque el atributo userAccountControl.  

Regresar al principio

La contraseña nunca caduca

Si PasswordIQ detecta una contraseña que nunca caduca para un usuario o un grupo de usuarios, la configuración Password never expires (La contraseña nunca caduca) puede habilitarse para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la configuración Password never expires (La contraseña nunca caduca).

Si PasswordIQ detecta una contraseña que nunca caduca para todos sus usuarios, la configuración Minimum password age (Vigencia mínima de la contraseña) puede establecerse en 0 en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
3. Abra la política Vigencia mínima de la contraseña. 

Regresar al principio

Contraseña hash de LM

Si PasswordIQ detecta una contraseña hash de LM, la configuración hash de LAN Manager puede estar habilitada en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
3. Abra Seguridad de la red: No almacene el valor hash de LAN Manager en la próxima política de cambio de contraseña.

Regresar al principio

Claves AES faltantes

Si PasswordIQ detecta claves AES faltantes para un usuario o un grupo de usuarios, es posible que sea necesario habilitar la configuración de cifrado AES para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de la cuenta), busque la configuración This account supports Kerberos AES128/256 bit encryption (Esta cuenta es compatible con el cifrado Kerberos AES128/256 bit).

Si PasswordIQ detecta claves AES faltantes para todos sus usuarios, es posible que sea necesario seleccionar tipos de cifrado AES en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
3. Abra Seguridad de la red: Configure los tipos de cifrado permitidos para la política de Kerberos. Las claves AES son AES128_HMAC_SHA1 y AES256_HMAC_SHA1. 

Regresar al principio

Autenticación previa faltante

Si PasswordIQ detecta que falta la autenticación previa, la configuración Do not require Kerberos preauthentication (No requiere autenticación previa de Kerberos) puede estar habilitada para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de la cuenta), busque la configuración Do not require Kerberos preauthentication (No requiere autenticación previa de Kerberos). 

Regresar al principio