Vencimiento de contraseñas exigido

Las opciones de vencimiento de contraseñas mal definidas en Microsoft Entra ID, que exigen que los usuarios cambien de contraseña de forma periódica, pueden introducir vulnerabilidades de seguridad por accidente. Las políticas de vencimiento tradicionales se basan en la suposición obsoleta de que los usuarios actualizan con frecuencia las credenciales vulneradas. En realidad, los cambios frecuentes de contraseña suelen llevar a patrones predecibles o ligeras variaciones de las contraseñas anteriores, lo que reduce la complejidad general y hace que las cuentas sean más vulnerables a los ataques de fuerza bruta y de diccionario.

Los cambios de contraseña forzados pueden aumentar el riesgo de almacenamiento inseguro, ya que los usuarios pueden tomar nota de las contraseñas, almacenarlas en ubicaciones no aprobadas o crear patrones que se pueden adivinar fácilmente para recordarlas. Este comportamiento reduce la seguridad y puede derivar en acceso no autorizado. Al exigir el vencimiento de contraseñas, las organizaciones pueden animar a los usuarios a omitir las prácticas recomendadas involuntariamente, lo que, en última instancia, amplía la superficie de ataque.

La política MS.AAD.6.1v1 de “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés) de CISA, exigida en virtud de BOD 25-01, establece que las contraseñas de usuario NO DEBEN vencer. El incumplimiento puede tener consecuencias normativas y operativas, en particular para los organismos federales y los contratistas que se rigen por CISA. En el panorama de seguridad actual, exigir el vencimiento de contraseñas no se ajusta a los principios de la seguridad centrada en la identidad, que priorizan la supervisión continua, el acceso condicional y los controles basados en amenazas antes que las políticas rígidas del ciclo de vida de las contraseñas. En las pautas modernas de NIST SP 800-63 también se desaconseja la rotación arbitraria de contraseñas y se señala que los cambios periódicos forzados sin pruebas de vulneración pueden reducir la aleatoriedad de las contraseñas y debilitar la seguridad general. Este indicador de exposición detecta los dominios que permiten la vencimiento de contraseñas después de un determinado período.

Habilite la opción “Set passwords to never expire” en Microsoft Entra ID para quitar la política de vencimiento de contraseñas.

Trate las contraseñas como secretos estáticos y haga hincapié en la configuración inicial segura, las pautas para la creación de contraseñas seguras y los mecanismos confiables de recuperación de cuentas. Céntrese en detectar comportamientos anómalos e intentos de acceso no autorizado, en lugar de exigir cambios de contraseña basados en el tiempo.

En lugar de forzar cambios de contraseña periódicos, céntrese en usar métodos como la autenticación multifactor (MFA), políticas de acceso condicional u opciones sin contraseña, como claves FIDO2. Estos métodos aumentan la seguridad, ya que reducen la dependencia de las contraseñas y garantizan que solo los usuarios verificados puedan acceder a las cuentas, independientemente de la antigüedad de la contraseña.

Por último, seguir las recomendaciones de CISA ayuda a reducir la deuda técnica y hace que el sistema de identidad sea más sólido y confiable.

Nombre: Vencimiento de contraseñas exigido

Nombre en clave: PASSWORD-EXPIRATION-ENFORCED

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure