Recomendaciones de directiva de contraseñas para contraseñas de Microsoft 365

Como administrador de Microsoft 365, es responsable de establecer la directiva de contraseñas para los usuarios de su organización. El establecimiento de la directiva de contraseñas puede resultar complicado y confuso, y en este artículo se proporcionan recomendaciones para que la organización sea más segura frente a ataques de contraseñas.

Las cuentas solo en la nube de Microsoft tienen una directiva de contraseña predefinida que no se puede cambiar. Los únicos elementos que puede cambiar son el número de días hasta que expire una contraseña y si las contraseñas expiran o no.

Para determinar con qué frecuencia expiran las contraseñas de Microsoft 365 en la organización, vea Establecer la directiva de expiración de contraseñas para Microsoft 365.

Comprender las recomendaciones de contraseña

Los procedimientos recomendados para las contraseñas se dividen en algunas amplias categorías:

• Resistencia a ataques comunes: esto implica la elección de dónde los usuarios escriben contraseñas (dispositivos conocidos y de confianza con una buena detección de malware, sitios validados) y la elección de qué contraseña elegir (longitud y unicidad).

• Contener ataques exitosos: contener ataques de piratas informáticos exitosos consiste en limitar la exposición a un servicio específico o evitar ese daño por completo, si se roba la contraseña de un usuario. Por ejemplo, si se asegura de que una infracción de las credenciales de la red social no haga que su cuenta bancaria sea vulnerable, o no permita que una cuenta guardada mal protegida acepte vínculos de restablecimiento de una cuenta importante.

• Descripción de la naturaleza humana: muchas prácticas de contraseña válidas producen errores frente a comportamientos humanos naturales. Comprender la naturaleza humana es fundamental porque la investigación muestra que casi todas las reglas que impones a los usuarios se traducen en un debilitamiento de la calidad de las contraseñas. Los requisitos de longitud, los requisitos de caracteres especiales y los requisitos de cambio de contraseña todos provocan la normalización de las contraseñas, lo que hace que resulte más fácil averiguar o descifrar contraseñas.

Instrucciones de contraseña para administradores

El principal objetivo de un sistema de contraseña más seguro es la diversidad de las contraseñas. Quiere que la directiva de contraseñas contenga muchas contraseñas diferentes y difíciles de adivinar. Estas son algunas recomendaciones para mantener su organización lo más segura posible.

• Mantenga un requisito de longitud mínima de 14 caracteres. (Aunque Microsoft 365 requiere al menos ocho caracteres, para una mayor seguridad, se recomienda un mínimo de 14 caracteres).
• No use contraseñas fáciles de adivinar como abcdefg o password
• Instruir a los usuarios para que no reutilicen las contraseñas de su organización con fines no laborables
• Aplicación del registro para la autenticación multifactor
• Habilitación de desafíos de autenticación multifactor basada en riesgos

Guía de contraseña para usuarios

Esta es una guía de contraseñas para los usuarios de su organización. Asegúrese de que los usuarios sepan estas recomendaciones y apliquen las directivas de contraseñas recomendadas en el nivel de organización.

• No use una contraseña igual o similar a una que use en otros sitios web
• No use una sola palabra, por ejemplo, passwordo una frase de uso común como Iloveyou
• Establezca contraseñas difíciles de adivinar, incluso por personas que saben mucho de usted. Algunos ejemplos son el uso de nombres y cumpleaños de sus amigos y familiares, sus bandas favoritas y frases que le gusta usar.

Prohibición de contraseñas fáciles de adivinar

El requisito de contraseña más importante que debe poner a los usuarios al crear contraseñas es prohibir el uso de contraseñas fáciles de adivinar que hacen que su organización sea vulnerable a ataques de contraseña por fuerza bruta. Algunos ejemplos son:

• abcdefg
• password
• monkey
• 123456

Instruya a los usuarios para que no usen las contraseñas de la organización en otro sitio

Uno de los mensajes más importantes que debe darle a los usuarios de su organización es el de no usar la contraseña de la organización en ningún otro sitio. El uso de contraseñas de organización en sitios web externos aumenta en gran medida la probabilidad de que los cibercriminales puedan poner en peligro estas contraseñas.

Aplicación del registro de autenticación multifactor

Asegúrese de que los usuarios actualizan la información de contacto y seguridad, como una dirección de correo electrónico alternativa, un número de teléfono o un dispositivo registrado para las notificaciones de inserción, de modo que pueden responder a los desafíos de seguridad y recibir notificaciones de eventos de seguridad. La información actualizada de contacto y seguridad ayuda a los usuarios a verificar su identidad si alguna vez olvidan su contraseña o si alguien más intenta hacerse cargo de su cuenta. También proporciona un canal de notificación fuera de banda para eventos de seguridad, como intentos de inicio de sesión o contraseñas modificadas.

Para más información, consulte Configuración de la autenticación multifactor.

Habilitación de la autenticación multifactor basada en riesgos

La autenticación multifactor basada en riesgos garantiza que, cuando nuestro sistema detecte actividad sospechosa, puede desafiar al usuario para asegurarse de que es el propietario legítimo de la cuenta.

Contenido relacionado

• Restablecer contraseñas
• Permitir que los usuarios puedan restablecer sus propias contraseñas
• Volver a enviar la contraseña de un usuario: ayuda para administradores
• Ayuda para pequeñas empresas & aprendizaje