Detecciones

Política de contraseñas débiles: antigüedad mínima

LOW

Idioma:

Descripción

Exigir el historial de contraseñas es una medida de protección común frente a las contraseñas débiles o vulneradas anteriormente. Sin embargo, si la antigüedad mínima se define en un valor demasiado bajo, los usuarios pueden saltarse esta protección al alternar rápidamente entre contraseñas temporales para reutilizar una antigua, lo que aumenta el riesgo de acceso no autorizado a las cuentas y a los datos confidenciales.

Tenable Identity Exposure analiza las políticas de contraseñas de la siguiente manera:

Evalúa el valor de la opción solo si está habilitada.
Para la política predeterminada, informa que la opción tiene un error en la configuración si está deshabilitada o tiene un valor inseguro. Esto se debe a que la política predeterminada funciona como reserva y debe definir todas las opciones pertinentes con valores seguros como última instancia.

Tenable Identity Exposure analiza las políticas de contraseñas deshabilitadas solo cuando el parámetro del IoE correspondiente también está deshabilitado.

Solución

Debe definir la antigüedad mínima de las contraseñas en un valor superior en la política de contraseñas informada.

Okta recomienda una antigüedad mínima típica para las contraseñas de una hora (60 minutos), que también es la opción predeterminada en este indicador de exposición. Tenable aconseja seleccionar un valor que se ajuste a la tolerancia al riesgo de su organización, así como a las normas de la industria y los requisitos reglamentarios pertinentes para el sector y la ubicación. Tenga en cuenta el impacto en la experiencia del usuario final, ya que los usuarios tendrán que esperar a que se cumpla la duración mínima para poder volver a cambiar la contraseña.

A continuación, configure el valor óptimo en el parámetro del IoE.

Consulte la documentación oficial de Okta para obtener instrucciones sobre cómo configurar correctamente la política de contraseñas informada.

Detalles del indicador

Nombre: Política de contraseñas débiles: antigüedad mínima

Nombre en clave: WEAK-PASSWORD-POLICY-MINIMUM-AGE-OKTA

Gravedad: Low

Tipo: Okta Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1110.001 - Brute Force: Password Guessing (texto en inglés), T1110.003 - Brute Force: Password Spraying (texto en inglés), T1110.004 - Brute Force: Credential Stuffing (texto en inglés)