Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Directrices de contraseñas NIST: Lo que necesita saber

Directrices de contraseñas NIST: Lo que necesita saber

Aug 13, 2024

El National Institute of Standards and Technology (NIST) ayuda a las organizaciones a implementar las mejores prácticas en sus operaciones, incluida la ciberseguridad. En particular, los contornos de las directrices de contraseñas de NIST se consideran el estándar de oro para la creación y gestión de políticas de contraseñas sólidas.

Este artículo explica las actuales directrices de contraseñas del NIST, detalladas en la Publicación Especial 800-63B, “Digital Identity Guidelines”, y cómo las organizaciones pueden implementarlas para fortalecer su estrategia de ciberseguridad.

La evolución de las directrices de contraseñas de NIST

La primera versión de las directrices de contraseñas NIST 800-63 se publicó en 2014. La norma actual es la versión 3, lanzada en 2019 y actualizada en 2020. Una cuarta revisión (directrices de contraseñas NIST 2024) está en desarrollo para responder al cambiante panorama de ataques.

Una razón clave por la que NIST ha cambiado sus directrices de contraseñas con el tiempo es su observación del comportamiento real de los usuarios. Específicamente, aunque las reglas estrictas de contraseñas parecerían mejorar la seguridad, pueden sobrecargar a los usuarios, llevándolos a adoptar prácticas que en realidad perjudican la seguridad.

Por ejemplo, exigir a los usuarios que elijan contraseñas altamente complejas y las cambien con frecuencia puede ser más perjudicial que beneficioso — los usuarios ansiosos por evitar la frustración de bloqueos de cuenta pueden recurrir a anotar sus contraseñas y guardarlas justo al lado de sus escritorios. En consecuencia, NIST ahora busca facilitar prácticas recomendadas más amigables para el usuario que mejoren la seguridad general.

Terminología clave

Las secciones de la publicación especial NIST se presentan como informativas, normativas o ambas. Informativo el material está destinado a ayudar al lector a comprender conceptos. Normativo el contenido proporciona recomendaciones para que una empresa las utilice al crear password policies. Preste mucha atención a los siguientes términos clave:

  • Deberá y no deberá — Indican acciones que NIST requiere que las organizaciones realicen (o no realicen)
  • Should and should not —Indicate that NIST recommends (or discourages) an action
  • Puede y no puede — Indican que una acción es permisible (o no permisible)
  • Puede y no puede — Indican una posibilidad o capacidad (o su ausencia), ya sea física, causal o material

Cumple con los requisitos del NIST con Netwrix

Directrices de contraseñas NIST

Los componentes principales de las recomendaciones de contraseñas del NIST se pueden agrupar en dos áreas:

  • Composición de contraseñas, que incluye requisitos de longitud y complejidad para contraseñas seguras.
  • Gestión de contraseñas, que abarca temas como la caducidad de contraseñas, políticas de bloqueo y el uso de gestores de contraseñas.


Composición de la contraseña

Una diferencia clave entre las antiguas directrices de contraseñas del NIST y la orientación actual es la priorización de la longitud de la contraseña sobre la complejidad. La razón es simple: Aunque los requisitos de complejidad hacen que las contraseñas sean más difíciles de adivinar o descifrar para los hackers, a menudo llevan a los usuarios a recurrir a prácticas arriesgadas como anotar sus contraseñas. Los requisitos de longitud logran muchos de los beneficios de seguridad sin el inconveniente, ya que los usuarios pueden elegir frases de paso fuertes que son fáciles de recordar y teclear.

En consecuencia, las directrices de contraseñas de NIST 2023 incluyen los siguientes requisitos de longitud y complejidad:

  • Longitud mínima — Las contraseñas generadas por el usuario deben tener al menos 8 caracteres de longitud y las contraseñas creadas automáticamente deben ser de al menos 6. Anteriormente, la longitud mínima para ambas era de 6.
  • Longitud máxima — Tanto las contraseñas generadas por el usuario como las generadas automáticamente deben tener una longitud máxima de 64 caracteres.
  • Complejidad de la contraseña — Las anteriores directrices del NIST requerían que las contraseñas incluyeran caracteres especiales y prohibían ciertos caracteres, como espacios y emojis. Ahora el NIST recomienda no tener requisitos de complejidad pero permitir cualquier carácter del Código Estándar Americano para el Intercambio de Información (ASCII).

Gestión de contraseñas

La actual publicación del NIST también ofrece una guía revisada sobre la gestión de seguridad de contraseñas. Las revisiones clave se refieren a lo siguiente:

  • Cambios de contraseña — Anteriormente, los requisitos de caducidad de contraseña de NIST obligaban a los usuarios a cambiar su contraseña periódicamente. Sin embargo, a la luz de investigaciones posteriores, NIST ahora recomienda exigir a los usuarios cambiar sus contraseñas solo cuando haya una razón específica, como el compromiso de la cuenta.
  • Historial de contraseñas—Se alienta a las organizaciones a comparar la nueva contraseña propuesta por un usuario con las anteriores para asegurar suficiente originalidad.
  • Verificación de contraseñas — NIST requiere que las organizaciones verifiquen las nuevas contraseñas propuestas contra una lista negra de contraseñas prohibidas. Estas listas de contraseñas pueden incluir credenciales comprometidas en violaciones de datos anteriores, palabras de diccionario, contraseñas que contienen caracteres repetitivos o consecutivos como “12345” o “aaaa”, y palabras específicas del contexto como el nombre del usuario o el negocio.
  • Bloqueos de cuenta — NIST 800-63B recomienda que las cuentas se bloqueen después de no menos de 10 intentos fallidos de inicio de sesión.
  • Almacenamiento de contraseñas — NIST requiere el uso de hash y salting de contraseñas para hacer que los ataques de adivinación de contraseñas sean prohibitivamente costosos para los adversarios.
  • Pistas de contraseña — Las actuales directrices de contraseñas del NIST desaconsejan que las organizaciones permitan pistas de contraseña (por ejemplo, “¿En qué año naciste?”) ya que pueden facilitar a los hackers adivinar la contraseña de un usuario.

Mejores prácticas para implementar la guía de contraseñas NIST

Las directrices del NIST ofrecen una valiosa perspectiva para mantener los sistemas, servicios y datos de TI a salvo de amenazas cibernéticas. Aquí hay algunas prácticas recomendadas clave a seguir:

  • Sea práctico. Como hemos visto, los requisitos de contraseña excesivamente estrictos suelen ser contraproducentes. Además, es posible que no mejoren la seguridad tanto como se pretende. Por ejemplo, NIST señala que los requisitos de complejidad y longitud de la contraseña no ayudan a defenderse contra los ataques de registro de pulsaciones de teclas, phishing y de ingeniería social.
  • Ofrezca un gestor de contraseñas. Las directrices de NIST animan a las organizaciones a permitir que los usuarios utilicen gestores de contraseñas porque estas herramientas facilitan la elección de contraseñas largas y complejas sin preocuparse por olvidarlas y quedar bloqueados. Con un gestor de contraseñas, puede adoptar con confianza los requisitos de longitud y complejidad que mejor funcionen para su organización.
  • Mejore la autenticación — La mayoría de las organizaciones todavía utilizan contraseñas como factor principal de autenticación. NIST recuerda a las organizaciones que la autenticación basada en el conocimiento (solicitar a un usuario que responda preguntas) no es un método aceptable de autenticación. Además, la biometría, como las huellas dactilares, no es por sí misma una forma suficiente de autenticación, aunque puede utilizarse en la autenticación multifactor. Las pautas de NIST desaconsejan el uso de mensajes SMS en la autenticación multifactor.
  • Adopte un enfoque exhaustivo para la seguridad. Las políticas de contraseñas fuertes son importantes para cada organización, pero solo son un componente de una estrategia integral de ciberseguridad. Asegúrese de implementar otras mejores prácticas de seguridad esenciales, como hacer cumplir rigurosamente el principle of least privilege para controlar estrictamente el acceso a datos y sistemas sensibles.

Cómo Netwrix puede ayudar


Elegir las herramientas adecuadas puede permitirle lograr el cumplimiento de las directrices de contraseñas de NIST de manera más rápida y efectiva. Para ayudar, Netwrix ofrece una robusta password management solution. Los productos clave incluyen:

  • Netwrix Password Policy Enforcer, que facilita la creación de políticas de contraseñas potentes y flexibles al mismo tiempo que proporciona una experiencia positiva para los usuarios.
  • Netwrix Directory Manager, que permite a los usuarios restablecer sus propias contraseñas y desbloquear sus cuentas, reduciendo los costos de helpdesk y la frustración de los usuarios.
  • Netwrix Password Secure, que permite a los usuarios gestionar sus contraseñas de manera segura y a los administradores administrar el acceso privilegiado y auditar el uso de contraseñas.

Conclusión

Las directrices del NIST son el estándar de oro para la composición de contraseñas y las políticas de gestión de contraseñas que protegen sistemas sensibles y datos. Los cambios clave con respecto a las guías anteriores incluyen enfatizar la longitud sobre la complejidad y no requerir la rotación regular de contraseñas.


Preguntas frecuentes

¿Cuáles son las directrices de política de contraseñas de NIST?


NIST 800-63B, “Guía de Identidad Digital,” ofrece recomendaciones para la composición de contraseñas y la gestión de contraseñas. La guía actual de NIST incluye lo siguiente:

  • Prefiera la longitud sobre la complejidad.
  • Exija que las contraseñas generadas por los usuarios tengan de 8 a 64 caracteres de longitud y que las contraseñas autogeneradas tengan de 6 a 64 caracteres de longitud.
  • Permita el uso de todos los caracteres ASCII, incluyendo espacios y emojis.
  • Compruebe las nuevas contraseñas del candidato contra una lista de contraseñas débiles y comprometidas.
  • Prohíba las pistas de contraseña.

¿Qué es la guía de contraseñas NIST 800-63?

Las directrices de contraseñas NIST 800-63B, tituladas “Digital Identity Guidelines”, sirven como un marco para ayudar a las organizaciones a implementar las mejores prácticas para contraseñas.


¿Recomienda NIST la caducidad de contraseñas?

No, NIST ya no recomienda exigir a los usuarios que cambien sus contraseñas regularmente, ya que las políticas de caducidad de contraseñas a menudo llevan a los usuarios a adoptar prácticas inseguras como anotar sus contraseñas. En su lugar, las organizaciones deberían requerir un cambio de contraseña solo cuando haya una buena razón, como el compromiso de la cuenta.


¿Cuáles son las directrices de contraseñas para NIST 800-171?

NIST 800-171 las directrices de contraseñas se detallan en NIST Special Publication 800-171 Revision 3, “Protegiendo la Información No Clasificada Controlada en Sistemas y Organizaciones no Federales.”

¿Cuáles son los estándares de contraseñas para 2024?


Las directrices de contraseñas del NIST establecen estándares para una amplia gama de aplicaciones relacionadas con contraseñas, incluyendo, pero no limitado a:

  • La eliminación de la autenticación basada en conocimiento
  • Aceptación de caracteres como emojis o la barra espaciadora
  • Aceptación de gestores de contraseñas
  • Eliminación de fechas de caducidad y pistas de contraseñas
  • Privilegiando la longitud sobre la complejidad
  • Establecimiento de longitudes mínimas y máximas para contraseñas generadas automáticamente y por el usuario

¿Cuál debería ser la longitud de las contraseñas en 2024?

Las directrices de contraseñas del NIST indican que las contraseñas generadas por los usuarios deben tener de ocho a 64 caracteres de longitud, mientras que las contraseñas autogeneradas deben tener de seis a 64 caracteres de longitud.

Aprende cómo evitar la expiración de contraseñas

Más información

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Joe Dibley

Investigador de seguridad

Investigador de seguridad en Netwrix y miembro del Equipo de Investigación de Seguridad de Netwrix. Joe es un experto en Active Directory, Windows y una amplia variedad de plataformas y tecnologías de software empresarial, Joe investiga nuevos riesgos de seguridad, técnicas de ataque complejas y las mitigaciones y detecciones asociadas.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad