logo

Criando uma política de senha forte com diretrizes Specops e NIST

publicado em:7/01/21 7:08 PM por: Gonçalves EstratégicosSegurança Da Informção

Inicie  o ano aplicando uma Política de senha na sua TI. As senhas do usuário final são um dos componentes mais fracos de seus protocolos de segurança gerais. A maioria dos usuários tende a reutilizar senhas em contas pessoais e de trabalho.

Eles também podem escolher senhas relativamente fracas que satisfaçam as políticas de senha da empresa, mas podem ser facilmente adivinhadas ou forçadas de forma bruta. Seus usuários também podem usar inadvertidamente senhas violadas para as senhas de suas contas corporativas.

Conheça a estrutura de segurança NIST

O Instituto Nacional de Padrões e Tecnologia (NIST) tem uma estrutura de segurança cibernética que ajuda as organizações a lidar com armadilhas comuns de segurança cibernética em seu ambiente, incluindo senhas fracas, reutilizadas e violadas. Este artigo examinará mais de perto as diretrizes de senha do NIST e verá como você pode auditar com eficácia suas políticas de senha para garantir que atendam aos padrões recomendados pelo NIST.

Diretrizes e práticas recomendadas de senha do NIST

Orientações específicas sobre senhas são abordadas no capítulo intitulado Verificadores secretos memorizados. O NIST tem várias recomendações em relação a senhas:

  • As senhas não devem ter menos de oito caracteres de comprimento
  • Caracteres ASCII são aceitáveis ​​com Espaços
  • Se um provedor de serviços escolhe aleatoriamente senhas, estes devem ter pelo menos seis caracteres de comprimento
  • As senhas devem ser comparadas com uma lista de senhas comumente usadas, esperadas ou comprometidas.

Que tipos de senha são comumente usados, esperados ou comprometidos?

  • Senhas violadas anteriormente
  • Palavras do dicionário
  • Caracteres que são sequenciais ou repetitivos
  • Palavras específicas do contexto (incluindo nome de usuário, nome da empresa, etc.)

O NIST também recomenda os seguintes outros mecanismos de segurança de senha, incluindo:

  • Limitando a taxa de tentativas de login com falha,
  • Não forçar os usuários a alterar sua senha após um número arbitrário de dias,
  • Forçar uma mudança de senha se houver evidência de comprometimento da senha da conta (ou seja, senha exposta em uma violação),
  • Deve-se oferecer orientação aos usuários quanto aos requisitos específicos da política de senha.

Auditoria de políticas de senha do Active Directory

A maioria das organizações empresariais hoje está usando o Microsoft Active Directory como sua fonte de identidade centralizada e solução de gerenciamento de acesso. Muitos usam as Políticas de Senha do Active Directory internas fornecidas pela Política de Grupo. As Políticas de Senha integradas como parte das Políticas de Conta da Política de Grupo fornecem funcionalidade básica para criar políticas de senha para o ambiente do Active Directory.

Abaixo está um exemplo de uma Política de Domínio Padrão configurada com as configurações de Política de Senha padrão, incluindo:

  • Idade máxima da senha
  • Idade mínima da senha
  • Comprimento mínimo da senha
  • A senha deve atender aos requisitos de complexidade

 

Imagem -The Hacker News-Uma Política de Senha de Domínio Padrão

 

Como você pode ver nas propriedades da Política de Senha, não há meios internos para detectar senhas violadas ou fazer upload de um arquivo de lista de senhas para fins de dicionário personalizado. De acordo com as diretrizes de senha recomendadas pelo NIST, esta política não se alinha com o padrão NIST.

E se você tiver muitas políticas de senha diferentes com potencialmente muitas configurações e configurações de senha diferentes? Como você audita efetivamente suas políticas de senha do Active Directory para ver como elas estão de acordo com as recomendações dos padrões NIST e outros?

Specops Password Auditor – Visibilidade para NIST e outros padrões de segurança cibernética

E se você tivesse uma ferramenta que fornecesse visibilidade a todas as suas políticas de senha do Active Directory e como elas se comparam aos padrões líderes do setor? Specops Password Auditor é uma ferramenta robusta que não apenas permite que você tenha uma visibilidade rápida de senhas perigosas em seu ambiente Active Directory. Ele também permite que você audite rapidamente as políticas de senha existentes em relação aos principais padrões de segurança cibernética para conformidade com eles.

 

Como você pode ver, a ferramenta Specops Password Auditor permite que você tenha visibilidade rápida de senhas de risco no ambiente Active Directory da sua organização. Esses incluem:

  • Senhas em branco
  • Senhas violadas
  • Senhas idênticas
  • Contas de administrador
  • Contas de administrador obsoletas
  • Senha não necessária
  • A senha nunca expira
  • Expiração de senhas
  • Senhas expiradas
  • Políticas de senha
  • Uso da política de senha
  • Conformidade com a política de senha

 

Imagem- The Hacker News

 

O relatório de conformidade da política de senha do Specops Password Auditor compara as configurações nas políticas de senha existentes do Active Directory com os seguintes padrões:

  • MS Research
  • MS TechNet
  • NCSC
  • NIST
  • PCI
  • SANS Admin
  • Usuários SANS

 

Você pode ver rapidamente se suas políticas de senha existentes atendem aos requisitos recomendados pelos vários padrões de segurança cibernética. Ele compensa uma carga enorme do administrador de TI ou de segurança ao realizar auditorias para alinhar as políticas de segurança com diferentes estruturas de segurança cibernética, como o NIST. Como você pode ver, a política cloud.local não está em conformidade com o NIST.

 

 

Imagem- The Hacker News

 

 

Se você clicar na “caixa vermelha” em NIST para a política de senha de domínio específica, você obterá uma visão detalhada do motivo pelo qual a política não cumpre com o padrão específico. Vemos que tanto o comprimento mínimo quanto as configurações do Dicionário falham.

 

Imagem-The Hacker News

 

Usando Specops Password Auditor e Specops Password Policy

O Specops Password Auditor oferece excelente visibilidade de como as políticas de senha do Active Directory se comparam aos padrões de segurança cibernética do setor. Suponha que você queira levar essa funcionalidade para o próximo nível. Nesse caso, a Política de Senha Specops fornece a capacidade de criar facilmente políticas de senha que são totalmente compatíveis com o NIST e outras estruturas de segurança cibernética.

Usando Specops Password Policy, você pode implementar facilmente os componentes mais avançados de suas políticas de senha do Active Directory, incluindo arquivos de dicionário personalizados e proteção de senha violada.

 

Imagem-The Hacker News

 

Empacotando

Manter a visibilidade e a conformidade em seu ambiente Active Directory com as melhores práticas de segurança cibernética recomendadas, como NIST, é uma ótima maneira de reforçar a segurança de seu ambiente. O NIST é uma estrutura de cibersegurança padrão da indústria bem conhecida que fornece orientação excelente para a segurança de senha.

Políticas de senha do Active Directory

A maioria das empresas hoje está usando as políticas de senha do Active Directory no ambiente. Realizar auditorias de suas políticas de senha em relação ao padrão NIST ajuda a ver todas as áreas de suas políticas existentes que podem precisar ser revisadas.

Specops Password Auditor torna este processo extremamente fácil. Ele puxa automaticamente todas as configurações de políticas de senha existentes no ambiente e as compara com estruturas de segurança cibernética padrão do setor, como o NIST. A Política de Senha Specops permite implementar facilmente as recomendações do NIST e outras, como dicionários personalizados e proteção de senha violada.

Traduzido do original: The Hacker News

Leia também:

Achou este artigo interessante? Siga-nos em nossas redes sociais, Facebook e LinkedIn.





Comentários



Adicionar Comentário