Descripción de las funcionalidades de administración y protección de contraseñas
La protección de contraseñas es una característica de Microsoft Entra ID que reduce el riesgo de que los usuarios establezcan contraseñas no seguras. La protección de contraseñas de Microsoft Entra detecta y bloquea las contraseñas no seguras conocidas y sus variantes. Además, puede bloquear otros términos poco seguros específicamente para la organización.
Con la protección de contraseñas de Microsoft Entra, se aplican automáticamente listas globales de contraseñas prohibidas a todos los usuarios de un inquilino de Microsoft Entra. Para satisfacer sus necesidades empresariales y de seguridad, puede definir entradas en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambian o restablecen sus contraseñas, se consultan estas listas para exigir el uso de contraseñas seguras.
Debería usar características adicionales, como la autenticación multifactor, y no confiar solo en las contraseñas seguras aplicadas por la protección de contraseñas de Microsoft Entra.
Lista global de contraseñas prohibidas
Microsoft actualiza y aplica automáticamente una lista global de contraseñas prohibidas que incluye contraseñas no seguras conocidas. Esta lista la mantiene el equipo de protección de identidad de Microsoft Entra, que analiza los datos de telemetría de seguridad para buscar contraseñas poco seguras o vulneradas. Algunos ejemplos de contraseñas que podrían estar bloqueadas son P@$$w0rd o Passw0rd1 y todas sus variaciones.
Las variaciones se crean mediante un algoritmo que transpone mayúsculas y minúsculas, así como letras a números; por ejemplo, "1" a "l". Las variaciones de Password1 pueden incluir a Passw0rd1, Pass0rd1 y otras. Estas contraseñas se comprueban y se agregan a la lista global de contraseñas prohibidas. La lista global de contraseñas prohibidas se aplica automáticamente a todos los usuarios de un inquilino de Microsoft Entra y no se puede deshabilitar.
Si un usuario de Microsoft Entra intentase usar como contraseña una de estas contraseñas no seguras, recibirá una notificación para que elija otra más segura. La lista global prohibida se crea a partir de ataques de difusión de contraseñas reales. Este enfoque mejora la seguridad y eficacia generales, y el algoritmo de validación de contraseñas también usa técnicas inteligentes de coincidencia aproximada que se usan para buscar cadenas que coincidan aproximadamente con un patrón. La protección de contraseñas de Microsoft Entra detecta y bloquea de manera eficaz millones de las contraseñas poco seguras más comunes que se usan en su empresa.
Listas personalizadas de contraseñas prohibidas
Los administradores también pueden crear listas personalizadas de contraseñas prohibidas para satisfacer necesidades específicas de seguridad empresarial. La lista personalizada de contraseñas prohibidas impide el uso de contraseñas como el nombre o la ubicación de la organización. Las contraseñas agregadas a la lista personalizada de contraseñas prohibidas deben centrarse en términos específicos de la organización, como:
- Nombres de marca
- Nombres de producto
- Ubicaciones, por ejemplo, la oficina central de la empresa
- Términos internos específicos de la empresa
- Abreviaturas que tienen un significado específico en la empresa
La lista personalizada de contraseñas prohibidas se combina con la lista global de contraseñas prohibidas para bloquear las variaciones de todas las contraseñas.
Las listas de contraseñas prohibidas son una característica de las licencias P1 o P2 de Microsoft Entra ID.
Protección contra la difusión de contraseñas
La protección de contraseñas de Microsoft Entra le ayudará a defenderse contra ataques de difusión de contraseñas. La mayoría de los ataques de difusión de contraseñas envían solo algunas de las contraseñas menos seguras conocidas en cada una de las cuentas de una empresa. Esta técnica permite al atacante buscar rápidamente una cuenta en peligro y evitar posibles umbrales de detección.
La protección de contraseñas de Microsoft Entra bloquea de forma eficaz todas las contraseñas no seguras conocidas que se puedan usar en los ataques de difusión de contraseñas. Esta protección se basa en los datos de telemetría de seguridad del mundo real que genera Microsoft Entra, los cuales se usan para crear la lista global de contraseñas prohibidas.
Seguridad híbrida
Si busca seguridad híbrida, los administradores pueden integrar la protección de contraseñas de Microsoft Entra en un entorno de Active Directory local. Un componente instalado en el entorno local recibe la lista global de contraseñas prohibidas y las directivas personalizadas de protección de contraseñas de Identificación de Microsoft Entra. A continuación, los controladores de dominio las usan para procesar los eventos de cambio de contraseña. Este enfoque híbrido garantiza que, siempre que un usuario cambie su contraseña, se aplique la protección de contraseñas de Microsoft Entra.
Aunque la protección de contraseñas mejora la seguridad de las contraseñas, es necesario seguir usando las características recomendadas, como la autenticación multifactor. Las contraseñas por sí solas, incluso las seguras, no lo protegerán tanto como varias capas de seguridad.