PasswordIQ analiza los usuarios de Active Directory en busca de 11 tipos de vulnerabilidades en las contraseñas. Después de recibir los resultados del análisis, puede trabajar con sus usuarios para resolver las vulnerabilidades de contraseña que PasswordIQ detecte. Para saber cómo ver los resultados de su análisis, consulte nuestro artículo Cómo utilizar el tablero de PasswordIQ.

Para saber cómo puede resolver las vulnerabilidades de las contraseñas de sus usuarios, consulte las siguientes secciones. Para obtener información general sobre PasswordIQ, consulte nuestro Manual del producto PasswordIQ.

Contraseña débil

Cuando PasswordIQ detecta una contraseña débil, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que su contraseña actual es una contraseña débil.
2. Pídale al usuario que cambie su contraseña.
3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas seguras. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore.

Contraseña compartida

Si PasswordIQ detecta una contraseña compartida, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que su contraseña actual es una contraseña compartida.
2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
3. Proporcione capacitación que enseñe al usuario cómo crear contraseñas únicas. KnowBe4 ofrece módulos de capacitación en ModStore que puede asignar a sus usuarios, incluidos Crear contraseñas seguras: capacitación en concientización sobre seguridad, Cómo crear contraseñas seguras con cuestionarios y Seguridad de contraseñas. Para obtener más información sobre el contenido de capacitación de ModStore, consulte el artículo Guía de la biblioteca y ModStore.

Contraseña no cifrada

Si PasswordIQ detecta una contraseña no cifrada para un usuario o un grupo de usuarios, se puede habilitar la configuración de cifrado reversible para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la opción Store password using reversible encryption (Almacenar contraseña mediante cifrado reversible). Asegúrese de que esta opción no esté seleccionada.
5. Informe a los usuarios que deben cambiar sus contraseñas.

Si PasswordIQ detecta una contraseña no cifrada para todos sus usuarios, la configuración de cifrado reversible puede establecerse en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
3. Abra la contraseña de la tienda utilizando la política de cifrado reversible. Asegúrese de que esta política esté deshabilitada.
4. Force una actualización de las políticas de grupo que aplica su compañía.
5. Informe a los usuarios que deben cambiar sus contraseñas.

Si PasswordIQ detecta una contraseña no cifrada, es posible que se habilite el indicador STORE_CLEARTEXT para toda su organización.

Para determinar si este indicador está habilitado, siga los pasos a continuación:

1. Desde su controlador de dominio, abra Active Directory Users and Computers (ADUC) (Usuarios y equipos de Active Directory [ADUC]).
2. Haga clic derecho en el nombre de dominio y seleccione Properties (Propiedades).
3. Seleccione la pestaña Attribute Editor (Editor de atributos) y busque el atributo pwdProperties. Si este atributo contiene el indicador STORE_CLEARTEXT, el dominio está configurado para permitir contraseñas no cifradas. Puede deshabilitar esta configuración a través de la Política de dominio predeterminada u otra política de dominio impuesta.

Contraseña vacía

Si PasswordIQ detecta una contraseña vacía, la configuración de Longitud mínima de contraseña puede establecerse en 0 en su política de grupo. Esta configuración permite que las contraseñas tengan cero caracteres.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a esta ruta: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Política de contraseña)s.
3. Abra la política Longitud mínima de contraseña.

Cifrado solo DES

Si PasswordIQ detecta cifrado solo DES, se puede habilitar la configuración de cifrado DES para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la opción Use Kerberos DES encryption types for this account (Utilizar tipos de cifrado Kerberos DES) para esta cuenta.

Contraseña vulnerada

Si PasswordIQ detecta una contraseña vulnerada, consulte nuestras recomendaciones para resolver esta vulnerabilidad a continuación:

1. Notifique al usuario que se puede acceder a su contraseña actual debido a una violación de seguridad de datos.
2. Pídale al usuario que cambie su contraseña para todas las cuentas para las que utiliza esa contraseña.
3. Asigne la última versión de nuestra Capacitación en concientización sobre seguridad de KnowBe4 al usuario para prepararlo para posibles ataques de ingeniería social. Es más probable que los ciberdelincuentes elijan a los usuarios que están involucrados en violaciones de seguridad de datos.

Contraseña no obligatoria

Si PasswordIQ detecta una contraseña que no es obligatoria, se puede establecer el indicador PASSWD_NOTREQD en el atributo userAccountControl de la cuenta. Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Habilite las características avanzadas (View > Advanced Features avanzadas [Ver > Características avanzadas]).
3. Vaya a las propiedades de la cuenta del usuario.
4. Seleccione la pestaña Editor de atributos y busque el atributo userAccountControl.

La contraseña nunca caduca

Si PasswordIQ detecta una contraseña que nunca caduca para un usuario o un grupo de usuarios, la configuración Password never expires (La contraseña nunca caduca) puede habilitarse para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de cuenta), busque la configuración Password never expires (La contraseña nunca caduca).

Si PasswordIQ detecta una contraseña que nunca caduca para todos sus usuarios, la configuración Minimum password age (Vigencia mínima de la contraseña) puede establecerse en 0 en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas de cuentas\Opciones de seguridad).
3. Abra la política Maximum password age (Vigencia máxima de la contraseña).
4. Force una actualización de las políticas de grupo que aplica su compañía.

También puede verificar si se aplica una política de contraseña detallada relativa a la vigencia máxima de la contraseña a un grupo de usuarios.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el centro administrativo de Active Directory.
2. Vaya a “Domain” \System\Password Settings Container (Dominio\Sistema\Contenedor de configuración de contraseñas).
3. Verifique si las políticas de contraseña detalladas tienen la opción Enforced maximum password age (Vigencia máxima de la contraseña aplicada) deshabilitada.

Contraseña hash de LM

Si PasswordIQ detecta una contraseña hash de LAN Manager (LM), la configuración hash de LM puede estar habilitada en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
3. Abra Seguridad de la red: No almacene el valor hash de LAN Manager en la próxima política de cambio de contraseña.
4. Force una actualización de las políticas de grupo que aplica su compañía.
5. Informe a los usuarios que deben cambiar sus contraseñas.

Cifrado AES no configurado

Si PasswordIQ detecta que el cifrado Estándar de cifrado avanzado (AES) no se estableció para un usuario o un grupo de usuarios, es posible que sea necesario habilitar la configuración de cifrado AES para sus cuentas.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Account options (Opciones de la cuenta), busque la configuración This account supports Kerberos AES128 encryption (Esta cuenta es compatible con el cifrado Kerberos AES128 bit) o la configuración This account supports Kerberos AES256 bit encryption (Esta cuenta es compatible con el cifrado Kerberos AES256 bit). Seleccione la opción disponible para usted.

Si PasswordIQ detecta que el cifrado AES no se estableció para todos sus usuarios, es posible que sea necesario seleccionar tipos de cifrado AES en su política de grupo.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra el Editor de administración de políticas de grupo.
2. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options (Configuración del equipo\Políticas\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad).
3. Abra Seguridad de la red: Configure los tipos permitidos para la política de Kerberos. Las claves AES son AES128_HMAC_SHA1 y AES256_HMAC_SHA1.

Autenticación previa faltante

Si PasswordIQ detecta que falta la autenticación previa, la configuración Do not require Kerberos preauthentication (No requiere autenticación previa de Kerberos) puede estar habilitada para la cuenta.

Para encontrar esta configuración, siga los pasos que se indican a continuación:

1. Abra Active Directory.
2. Vaya a las propiedades de la cuenta del usuario.
3. Seleccione la pestaña Account (Cuenta).
4. En la sección Opciones de la cuenta, busque la configuración No requiere autenticación previa de Kerberos.