Protección con contraseña de Azure AD

¿Está usted familiarizado con Azure Active Directory? Azure AD es un servicio multi-tenant totalmente gestionado de Microsoft que ofrece capacidades de identidad y acceso para aplicaciones. Aunque Azure se ha convertido en sinónimo de nube, Azure AD funciona tanto en la nube como en su entorno local.

Durante años, los administradores y los profesionales de la seguridad han pedido una forma fiable de prohibir contraseñas específicas y Microsoft ha cumplido. Microsoft ha llevado el concepto de protección de contraseñas al siguiente nivel con big data y machine learning, permitiendo a los administradores de TI añadir restricciones y protecciones adicionales en torno a las contraseñas aceptables. Las contraseñas simples con sustituciones de caracteres menores se utilizan a menudo para acomodar los requisitos de complejidad de las contraseñas (es decir, "¡P@ssw0rd!"), pero con la introducción de la nueva función de protección de contraseñas, este agujero de seguridad se llena fácilmente.

Lista global de contraseñas prohibidas

La lista global de contraseñas prohibidas es la característica clave que distingue a la solución Azure AD Password Protection. El equipo de sombreros blancos de Microsoft aprovecha miles de millones de puntos de datos en cientos de millones de cuentas para alimentar los motores de aprendizaje automático y de identidad de las contraseñas más comúnmente comprometidas. La lista se actualiza constantemente, aunque, por razones obvias, no se hace público el medio exacto de creación.

Lista de contraseñas prohibidas personalizada

La lista de contraseñas prohibidas personalizadas es una lista sobre la que usted, como administrador, tiene control. Le animamos a que añada contraseñas comunes que reflejen su organización, como nombres de organizaciones, términos específicos verticales y otras contraseñas que puedan ser fácilmente adivinadas basándose en la información pública de su organización. A medida que comprendemos mejor la forma en que se evalúan las nuevas contraseñas, vemos que hay que tener en cuenta millones de variaciones.

Microsoft utiliza un proceso de 4 pasos para identificar si una contraseña es lo suficientemente segura para ser utilizada:

Paso 1 - Normalización

En primer lugar, todos los caracteres se cambian al mismo caso. En segundo lugar, se realiza la sustitución de caracteres comunes.

Por ejemplo:

Carta original Carta de sustitución
‘0’ 'o'
‘1’ 'l'
‘$’ 's'
‘@’ 'a'

 

Paso 2 - Comparación difusa

Se utiliza un algoritmo de coincidencia difusa para determinar si la contraseña normalizada está contenida en la lista de prohibiciones global o personalizada. Esto identifica tanto las coincidencias directas como las coincidencias dentro de una modificación. Ejemplo: supongamos que la contraseña "abcdef" está prohibida y un usuario intenta cambiar su contraseña por una de las siguientes: 'abcdeg' (el último carácter se ha cambiado de f a g) 'abcdefg' (se ha añadido g al final) 'abcde' (se ha eliminado la f final).

Ninguna de las variaciones de la contraseña enumeradas anteriormente coincide directamente con la contraseña prohibida "abcdef", sin embargo, dado que ambos ejemplos están a una distancia de edición de 1 de la contraseña 'abcdef', todos ellos se consideran coincidentes con 'abcdef'.

Paso 3 - Comparación de subcadenas

La contraseña normalizada se comprueba para asegurarse de que el nombre y el apellido de los usuarios no están presentes. Si la contraseña está basada en la nube, también se comprueba que el nombre del inquilino no está presente.

Ejemplo: El usuario John Doe quiere restablecer su contraseña a "J0hn123fb". Tras la normalización, esta contraseña pasaría a ser "john123fb". La coincidencia de subcadenas encuentra que la contraseña contiene el nombre de pila del usuario "John". Aunque "J0hn123fb" no estaba específicamente en ninguna de las listas de contraseñas prohibidas, dado que la concordancia de subcadenas encontró "John" en la contraseña, ésta será rechazada.

Paso 4 - Cálculo de la puntuación

El último paso es almacenar la contraseña y tomar una decisión sobre si se acepta o se rechaza. La puntuación se clasifica utilizando el siguiente sistema de puntos:

  1. Cada contraseña prohibida que se encuentra en la contraseña de un usuario recibe un punto.
  2. Cada personaje único restante recibe un punto.
  3. Una contraseña debe recibir al menos 5 puntos para ser aceptada.

Ejemplos

En los dos ejemplos siguientes, vamos a suponer que Contoso utiliza la protección de contraseñas de Azure AD y tiene "contoso" en su lista personalizada. Supongamos también que "blank" está en la lista global. (es decir) un usuario cambia su contraseña a "C0ntos0Blank12"

Tras la normalización, esta contraseña se convierte en "contosoblank12". El proceso de comparación descubre que esta contraseña contiene dos contraseñas prohibidas: contoso y blank. Esta contraseña recibe entonces una puntuación:

[contoso] + [en blanco] + [1] + [2] = 4 puntos Como esta contraseña está por debajo de 5 puntos, será rechazada.

Ejemplo: un usuario cambia su contraseña por "¡ContoS0Bl@nkf9!". Tras la normalización, esta contraseña se convierte en "contosoblankf9!". El proceso de comparación descubre que esta contraseña contiene dos contraseñas prohibidas: contoso y blank. A esta contraseña se le asigna una puntuación:

[contoso] + [blank] + [f] + [9] + [!] = 5 puntos Como esta contraseña tiene al menos 5 puntos, es aceptada.

El último componente se basa en la concesión de licencias. La siguiente tabla enumera los requisitos de licencia de Microsoft para esta solución:

Protección de contraseñas de Azure AD con lista global de contraseñas prohibidas Protección de contraseñas de Azure AD con una lista de contraseñas prohibidas personalizada
Usuarios de la nube Azure AD Gratis Azure AD Premium P1 o P2
Usuarios sincronizados desde el Active Directory de Windows Server local Azure AD Premium P1 o P2 Azure AD Premium P1 o P2

Si está interesado en saber más sobre Azure AD, póngase en contacto directamente con nuestros expertos en Azure AD: info@fit-prod-web01.azurewebsites.net.

Recurso adicional:   Azure Active Directory

El siguiente enlace proporciona más detalles sobre la solución:  https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad

 

Dejar una respuesta

Debes estar conectado para publicar un comentario.

es_CRSpanish