Las contraseñas deben cumplir los requisitos de complejidad

  • Artículo

Se aplica a

  • Windows 11
  • Windows 10

Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad necesarios para configurar la directiva de seguridad La contraseña debe cumplir los requisitos de complejidad.

Referencia

La configuración de directiva Las contraseñas deben cumplir los requisitos de complejidad determina si las contraseñas deben cumplir una serie de instrucciones para una contraseña segura. Cuando está habilitada, este valor requiere que las contraseñas cumplan los siguientes requisitos:

  1. Las contraseñas no pueden contener el valor samAccountName (nombre de la cuenta) del usuario o el valor displayName completo (valor del nombre completo). Ninguna de estas comprobaciones distingue mayúsculas de minúsculas.

    SamAccountName se comprueba en su totalidad únicamente para determinar si forma parte de la contraseña. Si samAccountName tiene menos de tres caracteres, se omitirá esta comprobación. La propiedad displayName se analiza para delimitadores: comas, puntos, guiones, caracteres, guión bajo, espacios, asteriscos y tabulaciones. Si se encuentran alguno de estos delimitadores, se divide displayName y se confirma que no se incluirán en la contraseña todas las secciones analizadas (tokens). Se ignorarán los tokens de menos de tres caracteres y no se comprobarán las subcadenas de los tokens. Por ejemplo, el nombre "Beatriz M. Melgar" se divide en tres símbolos: "Beatriz", "M" y "Melgar". Dado que el segundo token solo tiene un carácter de longitud, este se omite. Por lo tanto, este usuario no podría tener una contraseña que incluya "beatriz" o "melgar" como subcadena en ninguna parte de la contraseña.

  2. La contraseña contiene caracteres de tres de las siguientes categorías:

    • Letras mayúsculas de idiomas europeos (de A a Z, con marcas diacráticas, caracteres griegos y cirílicos).

    • Letras minúsculas de las lenguas europeas (a a a z, sharp-s, con marcas diacráticas, caracteres griegos y cirílicos).

    • 10 dígitos base (de 0 a 9).

    • Caracteres no alfanuméricos (caracteres especiales):

      '-!"#$%&()*,./:;?@[]^_`{|}~+<=>

      Los símbolos de moneda, como el euro o la libra esterlina, no se cuentan como caracteres especiales para esta configuración de directiva.

    • Cualquier carácter Unicode que se clasifica como carácter alfabético, pero que no está en mayúsculas o minúsculas. Este grupo incluye caracteres Unicode de idiomas de Asia.

Se aplican requisitos de complejidad cuando se cambian o se crean contraseñas.

Las reglas que se incluyen en los requisitos de complejidad de contraseñas de Windows Server forman parte de Passfilt.dlly no se pueden modificar directamente.

Cuando está habilitado, el archivo Passfilt.dll predeterminado puede provocar algunas llamadas adicionales a soporte técnico para las cuentas bloqueadas, ya que los usuarios están acostumbrados a usar contraseñas que contengan solo caracteres que estén en el alfabeto. Pero esta configuración de directiva es lo suficientemente amplia para que todos los usuarios puedan acostumbrarse a ella.

Otras opciones de configuración que se pueden incluir en un personalizado Passfilt.dll son el uso de caracteres que no son de fila superior. Para escribir los caracteres de la fila superior, mantenga presionada la tecla MAYÚS y presione una de las teclas de la fila numérica del teclado (del 1 al 9 y el 0).

Posibles valores

  • Habilitado
  • Deshabilitado
  • No definido

Procedimientos recomendados

Sugerencia

Para ver los procedimientos recomendados más recientes, consulte Pautas de contraseñas.

Establezca Las contraseñas deben cumplir los requisitos de complejidad en Habilitado. Esta configuración de directiva, combinada con una longitud mínima de contraseña de 8, garantiza que haya al menos 159 238 157 238 528 posibilidades diferentes para una sola contraseña. Este valor dificulta un ataque por fuerza bruta, pero aún así no es imposible.

El uso de combinaciones de caracteres de la tecla ALT puede mejorar en gran medida la complejidad de una contraseña. Sin embargo, requerir que todos los usuarios de una organización cumplan estos estrictos requisitos de contraseña puede dar lugar a usuarios insatisfechos y a un servicio de asistencia muy ocupado. Piense en la posibilidad de implementar un requisito en su organización para que usen caracteres ALT en el rango de 0128 a 0159 como parte de todas las contraseñas de administradores. (Los caracteres ALT que se encuentran fuera de este intervalo pueden representar caracteres alfanuméricos estándar que no agregan complejidad adicional a la contraseña).

Es fácil que las contraseñas que solo contienen caracteres alfanuméricos acaben expuestas mediante herramientas disponibles públicamente. Para evitar esta vulnerabilidad, las contraseñas deben contener otros caracteres o cumplir los requisitos de complejidad.

Ubicación

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Valores predeterminados

En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.

Tipo de servidor u objeto de directiva de grupo (GPO) Valor predeterminado
Directiva de dominio predeterminada Habilitado
Directiva de controlador de dominio predeterminada Habilitado
Configuración predeterminada del servidor independiente Deshabilitado
Configuración predeterminada eficaz del controlador de dominio Habilitado
Configuración predeterminada eficaz del servidor miembro Habilitado
Configuración predeterminada del GPO eficaz en los equipos cliente Deshabilitado

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

Las contraseñas que solo contienen caracteres alfanuméricos son muy fáciles de descubrir con diversas herramientas disponibles públicamente.

Contramedida

Establezca la directiva Las contraseñas deben cumplir los requisitos de complejidad en Habilitada y aconseje a los usuarios que usen varios caracteres en sus contraseñas.

Cuando se combina con una Longitud mínima de la contraseña de 8 caracteres, esta configuración de directiva garantiza que el número de posibilidades diferentes para una sola contraseña sea tan grande que sea difícil (aunque no imposible) que un ataque por fuerza bruta tenga éxito. (Si se aumenta la configuración de la directiva de Longitud mínima de la contraseña, también aumentará la cantidad de tiempo necesaria para que el ataque tenga éxito).

Posible efecto

Si se conserva la configuración predeterminada de la complejidad de la contraseña, podrían producirse más llamadas a soporte técnico por cuentas bloqueadas, ya que es posible que los usuarios no se acostumbren a las contraseñas con caracteres no alfabéticos o es posible que tengan problemas al escribir las contraseñas con caracteres acentuados o símbolos en teclados con diseños diferentes. Sin embargo, todos los usuarios deben poder cumplir con el requisito de complejidad con una dificultad mínima.

Si su organización tiene requisitos de seguridad más estrictos, puede crear una versión personalizada del Passfilt.dll archivo que permita el uso de reglas de seguridad de contraseñas arbitrariamente complejas. Por ejemplo, un filtro de contraseñas personalizado podría requerir el uso de símbolos que no son de la fila superior. (Los símbolos de la fila superior son los que requieren que mantenga presionada la tecla Mayús y que después presione cualquiera de las teclas de la fila numérica del teclado del 1 al 9 y 0). Un filtro de contraseña personalizada también puede realizar una comprobación del diccionario para comprobar que la contraseña propuesta no contenga palabras o fragmentos comunes del diccionario.

El uso de combinaciones de caracteres de la tecla ALT puede mejorar en gran medida la complejidad de una contraseña. Sin embargo, estos estrictos requisitos de contraseña pueden dar lugar a un aumento de solicitudes al departamento de soporte técnico. Como alternativa, la organización podría considerar un requisito para que todas las contraseñas de administrador usen caracteres ALT en el intervalo 0128-0159. (Los caracteres ALT que se encuentran fuera de este intervalo pueden representar caracteres alfanuméricos estándar que no agregarían complejidad adicional a la contraseña).