Saltar al contenido

Caducidad y cumplimiento de contraseñas (ISO, NIST, PCI, etc.)

este problema se puede abordar de diversas formas, pero te mostramos la que para nosotros es la solución más completa.

Solución:

La versión actual de PCI DSS es 3.2.1*, y en la sección 8.2.4 requiere que los usuarios cambien sus contraseñas cada 90 días. La Sección 8.2.5 requiere que las contraseñas no sean las mismas que ninguna de las cuatro contraseñas anteriores (tenga en cuenta que no prescribe cómo se debe lograr esto; el estándar no establece específicamente que se requiere el “almacenamiento de hash”).

Sin embargo, este documento claramente no se basa en la seguridad de contraseñas de última generación porque la sección 8.2.3 del mismo documento requiere que las contraseñas tengan una “longitud mínima de al menos siete caracteres” e incluyan “caracteres numéricos y alfabéticos”. Las computadoras modernas pueden ejecutar un software de descifrado de contraseñas que fuerza brutamente una contraseña alfanumérica de 7 caracteres en segundos. Solo debido a este requisito deficiente, es difícil creer que alguno de sus requisitos de seguridad de contraseña se base en investigaciones o sea efectivo.

Dicho esto, nuestro conocimiento de que este estándar no es lo suficientemente bueno no significa que podamos ignorarlo. Pase lo que pase, estamos sujetos a una política de rotación de 90 días, ya sea que proporcione o no una defensa útil contra un atacante, o que exponga o no a nuestros usuarios a inconvenientes o riesgos adicionales, porque estamos obligados por contrato a cumplir con la PCI. estándares En cambio, dado que somos conscientes de que el estándar es inadecuado en este sentido, lo que debemos hacer es implementar una política de seguridad responsable en nuestras organizaciones que aborde los problemas conocidos (que requiere una contraseña de 14 caracteres que cumpla con las otras recomendaciones preliminares de NIST en 5.1. 1.2, por ejemplo) que todavía cumple con todos los requisitos del DSS. Tener una política de seguridad organizacional y seguirla es el Requisito 12 del DSS, y en realidad es muy bueno.

* PCI DSS 3.2 estaba vigente a partir de 2017. En 2018, la versión se actualizó a 3.2.1, una actualización menor que no realizó cambios en el aviso de contraseña.

Para responder primero a sus preguntas, desde la perspectiva de ISO 27001, es no es prescribe cuál debe ser la duración de su vencimiento, ni especifica cuántas contraseñas antiguas debe conservar.

En su lugar, proporciona pautas genéricas sobre la gestión de contraseñas. En aras del cumplimiento y para satisfacer a los Auditores, es mejor tener una duración de vencimiento de la contraseña de no más de 90 días y conservar al menos las últimas 2 contraseñas para evitar su reutilización.

ISO 27k1 menciona explícitamente que debemos “mantener un registro de las contraseñas utilizadas anteriormente y evitar su reutilizaciónpero no especifica cuántos de ellos deben ser retenidos.

Todo el control e implementación menciona algo como esto.

Controlar A.9.4.3

El Sistema de Gestión de Contraseñas será interactivo y garantizará Contraseñas de calidad.

Según ISO 27001, un sistema de gestión de contraseñas debería (con mis propios comentarios agregados).

  • mantener la responsabilidad al hacer cumplir el uso de ID de usuario y contraseñas individuales.

  • Los usuarios deberían poder seleccionar y cambiar su contraseña cuando sea necesario, lo que básicamente significa que los usuarios tienen control sobre su contraseña.

  • incluir un procedimiento de confirmación para permitir errores de entrada en los momentos en que los Usuarios cometen un error al iniciar sesión.

  • aplicar contraseñas de buena calidad, que idealmente deberían definirse en su política de contraseñas y aplicarse en su aplicación.

  • obligue a los usuarios a cambiar sus contraseñas cuando inicien sesión por primera vez, sin lo cual es poco probable que los usuarios cambien su contraseña predeterminada. La actualización forzada de la contraseña también debe implementarse cuando los administradores la restablecen.

  • hacer cumplir los cambios regulares de contraseña, que idealmente deberían ser de 90 días o menos. Los auditores parecen preferir 30 días, pero eso puede ser demasiado.

  • conservar las contraseñas utilizadas anteriormente y evitar su reutilización, pero no se especifica cuántas contraseñas se deben guardar.

  • no mostrar las contraseñas en la pantalla cuando se ingresan, lo cual es lógico.

  • almacene los datos de contraseña por separado de los datos del sistema de aplicación, aunque no estoy seguro de cuán práctico es implementar esto desde el punto de vista de la arquitectura.

  • almacenar y transmitir contraseñas en forma protegida, como SSL para aplicaciones en línea.

Sección de Reseñas y Valoraciones

Recuerda algo, que te brindamos la opción de valorar este post .

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *