¿Cómo se puede aplicar IA-5 (1) (b) en los sistemas Windows?

7

Nota: También he publicado una pregunta para este problema en sistemas que no son Windows .

En NIST SP 800-53 Rev. 3, IA-5 es el control que trata la "Administración del autenticador". Los requisitos de este control incluyen aspectos como la aplicación de la longitud de la contraseña, la complejidad, la vida útil, el historial y el almacenamiento / transmisión adecuados de las contraseñas.

La primera mejora para este control, que se selecciona para todos los sistemas (Bajo / Moderado / Alto) incluye este requisito:

  

El sistema de información, para autenticación basada en contraseña:

     

...

     

(b) Hace cumplir al menos una [Asignación: número de caracteres cambiados definido por la organización] cuando se crean nuevas contraseñas;

En los sistemas Windows, sé cómo aplicar contraseñas largas y complejas que se cambian regularmente y no exactamente coinciden con un cierto número de contraseñas antiguas. Pero, ¿cómo implementas una política que requiere que se cambie una cierta cantidad de caracteres con cada nueva contraseña?

    
pregunta Iszi 19.04.2011 - 15:11
fuente

2 respuestas

4

Cree que la única forma es escribir tu propio filtro de contraseña personalizado.

También hay muchos productos de terceros que lo harán por usted, por ejemplo.

Incluso la complejidad de la contraseña de Windows 2008 solo se verificará:

  • Las contraseñas no pueden contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que superen los dos caracteres consecutivos.
  • Las contraseñas deben tener al menos seis caracteres de longitud.
  • Las contraseñas deben contener caracteres de tres de las siguientes cuatro categorías:
    • caracteres en mayúscula en inglés (de la A a la Z).
    • caracteres en minúsculas en inglés (de la A a la Z).
    • Base de 10 dígitos (0 a 9).
    • Caracteres no alfabéticos (por ejemplo,!, $, #,%).

enlace

Esta verificación de complejidad predeterminada con la educación del usuario y la provisión de un administrador de contraseñas es suficiente para que la mayoría de las empresas mitiguen el riesgo.

Si está realmente preocupado por alguien que está configurando ChelseaFC01, ChelseaFC02, ChelseaFC03 y esto es una suposición a través de la ingeniería social, es decir, el atacante descubre que el usuario es Chelsea y pasa por esta combinación que podría dejar de confiar en la contraseña: por ejemplo. implementar dos factores, autenticación adaptativa, etc. También puede monitorear múltiples fallas de contraseña, por ejemplo. 8 intentos y luego un éxito a través de los registros de Active Directory e investigarlos.

    
respondido por el Rakkhi 19.04.2011 - 18:23
fuente
1

Creo que esto puede haber cambiado en Windows 2008, pero en versiones anteriores de Windows, este tipo de cosas se hizo a través de filtros de contraseña personalizados (passfilt.dll) y / o agentes de inicio de sesión personalizados.

    
respondido por el frankodwyer 19.04.2011 - 15:51
fuente

Lea otras preguntas en las etiquetas