Recomendaciones de la directiva de contraseña para Office 365

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

Colaboradores: Kweku Ako Adjei
última actualización 1 de diciembre de 2017

Como administrador de una organización de Office 365, es responsable de configurar la directiva de contraseñas para los usuarios de su organización. Configurar directiva de contraseñas puede ser complicadas y confuso, y este artículo proporciona recomendaciones para hacer que su organización sea más segura contra ataques de contraseña.

Para configurar una directiva de complejidad de contraseña personalizadas para su organización, consulte Azure AD B2C: configurar requisitos de complejidad de las contraseñas.

Para determinar la frecuencia con Office 365 tiempo expiran las contraseñas de su organización, vea establecer la directiva de expiración de contraseña de Office 365.

Descripción de recomendaciones de contraseña

Buenas contraseñas se dividen en algunas categorías:

  • Resistentes a ataques comunes Esto implica la elección de donde los usuarios escriben contraseñas (conocidos y de confianza dispositivos con la detección de malware buena, sitios validadas) y la elección de qué contraseña para elegir (longitud y exclusividad).

  • Que contiene ataques Que contiene los piratas correcta consiste en limitar la exposición a un servicio específico, o impedir que daños por completo, si obtiene robe una contraseña de usuario. Por ejemplo, una cuenta mal protegida garantizar que un incumplimiento de sus credenciales de redes sociales no hacer que su cuenta bancaria vulnerable o no permitiéndole Aceptar restablecer vínculos para una cuenta importante.

  • Descripción de la naturaleza humana Muchas de las prácticas de contraseña válida errores ante comportamientos humanos naturales. Comprender la naturaleza humana es fundamental porque investigación muestra que casi cada regla que imponer a los usuarios dará como resultado un debilitamiento de calidad de la contraseña. Requisitos de longitud, requisitos de carácter especial y contraseña cambian requisitos provocarán normalización de contraseñas, lo que hace que sea más fácil para los atacantes de adivinar o averiguar contraseñas.

Directrices de contraseña para los administradores

El objetivo principal de un sistema de contraseña sea más seguro es diversidad de contraseña. Desea que su directiva de contraseña contienen una gran cantidad de diferentes y difícil de adivinar contraseñas. Estas son algunas recomendaciones para mantener la organización lo más seguro posible.

  • Mantener un requisito de longitud mínima de 8 caracteres (ya no es necesariamente mejor)

  • No se necesitan requisitos de composición de carácter. Por ejemplo, * &(^%$

  • No requiere restablecer contraseñas periódico obligatorio para cuentas de usuario

  • Prohibir las contraseñas comunes, para mantener las contraseñas más vulnerables fuera de su sistema

  • Informar a los usuarios no volver a usar las contraseñas de la organización con fines de trabajo no relacionados

  • Exigir el registro para la autenticación multifactor

  • Habilitar los desafíos de autenticación multifactor riesgo

Directrices de contraseña para los usuarios

Aquí tiene algunas instrucciones de contraseña para los usuarios de su organización. Asegúrese de permitir que los usuarios saber acerca de estas recomendaciones y aplicar las directivas de contraseña recomendadas en el nivel de organización.

  • No use una contraseña que sea igual o similar a usar en cualquier otros sitios Web

  • No use una sola palabra, por ejemplo, contraseña o una frase que se usan normalmente como Iloveyou

  • Asegúrese de contraseñas difíciles de adivinar, incluso por quienes conocer mucho, como los nombres y cumpleaños de sus amigos y familiares, sus favoritos bandas y frases que desea usar

Algunos métodos comunes y sus efectos negativos

Estas son algunas de las prácticas de administración de contraseñas usadas con más frecuencia, pero investigación nos advierte sobre el impacto negativo de ellos.

Requisitos de expiración de contraseñas para los usuarios

Requisitos de expiración de contraseña hacer más daño que bien, porque estos requisitos hacen que los usuarios seleccionen contraseñas predecibles, que se compone de palabras secuenciales y los números que están estrechamente relacionados entre sí. En estos casos, puede predecir la contraseña siguiente en función de la contraseña anterior. Requisitos de expiración de contraseñas no ofrecen ventajas de contenido porque cibercriminales casi siempre usar credenciales tan pronto como comprometan a ellos.

Solicitar contraseñas largas

Requisitos de longitud de contraseña (más de 10 caracteres) pueden traducirse en comportamiento de usuario es predecible y no deseado. Por ejemplo, los usuarios que deben tener una contraseña de 16 caracteres puede repetir tramas como fourfourfourfour o passwordpassword que cumpla los requisitos de longitud de caracteres, pero no son difíciles de adivinar. Además, los requisitos de longitud aumentan las posibilidades que los usuarios adoptará otras prácticas inseguros, como anotar sus contraseñas, volver a usarlos o almacenarlos sin cifrar en sus documentos. Para animar a los usuarios que se deben tener una contraseña única, se recomienda mantener un requisito razonable longitud mínima de 8 caracteres.

Que requieren el uso de varios conjuntos de caracteres

Requisitos de complejidad de contraseña reducen el espacio de claves y hacer que los usuarios para que actúe de maneras predecibles, hacer más daño que buena. La mayoría de los sistemas exigir algún nivel de requisitos de complejidad de contraseña. Por ejemplo, las contraseñas deben caracteres de tres de las siguientes categorías:

  • caracteres en mayúsculas

  • caracteres en minúsculas

  • caracteres no alfanuméricos

La mayoría de personas usan patrones similares, por ejemplo, una letra mayúscula en la primera posición, un símbolo en la última y un número en el último 2. Cibercriminales saben, por lo que se ejecutan sus ataques de diccionario mediante la sustitución más comunes, "$" por "s", "@" para "a", "1" por "l". Obligar a los usuarios elegir una combinación de superior, inferior, dígitos, caracteres especiales tiene un efecto negativo. Algunos requisitos de complejidad incluso impedir que los usuarios utilicen contraseñas seguras y fáciles de recordar y obligue a aproximan con menos seguras y fácil de recordar menos contraseñas.

Tramas correcta

Por el contrario, estas son algunas recomendaciones en promover la diversidad de contraseña.

Prohibir comunes contraseñas

El requisito de contraseña más importante que debe colocar en los usuarios al crear contraseñas es prohibir el uso de contraseñas comunes para reducir la sensibilidad a fuerza bruta contra contraseñas de su organización. Incluir las contraseñas de usuario comunes, abdcefg, contraseña, mono.

Informar a los usuarios no volver a utilizar contraseñas de la organización en cualquier otra

Uno de los mensajes más importantes para comunicar a los usuarios de su organización es no volver a usar su contraseña de organización en cualquier otra. El uso de contraseñas de la organización en sitios Web externos aumenta la probabilidad de que cibercriminales compromete estas contraseñas.

Exigir registro autenticación multifactor

Asegúrese de que los usuarios actualización información de contacto y seguridad, como una dirección de correo electrónico alternativa, número de teléfono o un dispositivo registrados para las notificaciones de inserción, de modo que pueden responder a los desafíos de seguridad y recibir una notificación de eventos de seguridad. Información de contacto y seguridad actualizada ayuda a los usuarios verificar su identidad si olvida su contraseña, o si alguien intenta tomar el control de su cuenta. También proporciona una fuera del canal de notificación de banda en el caso de los eventos de seguridad como intentos de inicio de sesión o cambiar las contraseñas.

Para obtener más información, vea Configurar la autenticación multifactor.

Habilitar la autenticación multifactor riesgo

Autenticación multifactor riesgo garantiza que cuando nuestro sistema detecta actividad sospechosa, puede reto al usuario para asegurarse de que el propietario de la cuenta legítima.

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×