Organización: East Ayrshire Council
País: Escocia
Sector: Administración pública
Objetivo: Aplicar contraseñas más fuertes mediante una lista personalizada de diccionario.
Resultado: Políticas de contraseñas más estrictas y adaptadas a los distintos roles dentro de la organización, sin afectar la experiencia del usuario.
Solución: Specops Password Policy
En 2017, East Ayrshire Council llevó a cabo una auditoría que reveló el uso de contraseñas débiles entre sus 6.000 empleados. Para bloquear contraseñas comunes y vulnerables, el Ayuntamiento implementó Specops Password Policy con el fin de reforzar los requisitos de contraseña y personalizar una lista de diccionario de contraseñas.
En Escocia, todas las administraciones locales realizan una auditoría externa anual. La auditoría de 2017 en East Ayrshire Council mostró que muchos usuarios usaban contraseñas comunes como Password1, Initial1 y Summer17. También elegían contraseñas fáciles de adivinar, que incluían nombres de equipos de fútbol locales (Kilmarnock, Celtic, Rangers, etc.).
Además, debido a un periodo corto de expiración de contraseñas de 45 días, los usuarios recurrían incluso a añadir un número al final de la contraseña para poder actualizarla sin impedimentos.
«Teníamos un problema con las contraseñas débiles y las políticas de contraseña de Active Directory no nos permitían bloquear palabras comunes», explica Ian Aston, responsable de seguridad TIC en East Ayrshire Council. «Conocíamos Specops Software y rápidamente organizamos una demo para evaluar el software Specops Password Policy».
Además de bloquear contraseñas de alta probabilidad, el Ayuntamiento quería aplicar la expiración de contraseñas sin fomentar la reutilización ni la creación de contraseñas incrementales (añadiendo números al final). También consideraban deseable que el software soportara frases de contraseña (passphrases). Specops Password Policy cumplió con todos los requisitos del Ayuntamiento y fue implementado rápidamente.
East Ayrshire Council creó una lista personalizada de contraseñas prohibidas que incluía las más comunes y aquellas débiles detectadas en la auditoría. Al integrar esta lista en el software, fue posible impedir que se usaran esas palabras al establecer una contraseña. También aprovecharon la función de Specops Password Policy para bloquear contraseñas incrementales.
La implementación se llevó a cabo durante ocho semanas, comenzando con el personal de IT antes de activarla para todos los usuarios. Para preparar a los empleados del Ayuntamiento ante la nueva política de contraseñas, Ian y su equipo enviaron un correo explicativo que incluía capturas de pantalla de los mensajes de error que aparecen cuando un usuario intenta elegir una contraseña incluida en la lista personalizada.
«Instalamos el Authentication Client en todos nuestros endpoints para que los usuarios recibieran mensajes cuando no eligieran una contraseña suficientemente segura», explica Ian. «Esta función ha sido de gran ayuda y ha facilitado mucho el proceso de implementación. Solo recibimos un par de llamadas al servicio de soporte con preguntas.»
La única queja de los usuarios vino de aquellos que solían añadir un número secuencial a sus contraseñas. Los usuarios del Ayuntamiento abarcan diferentes roles, desde empleados de soporte con tareas de oficina hasta trabajadores sociales y otros profesionales en campo. Specops Password Policy permite aplicar políticas de contraseña diferenciadas según el rol dentro de la organización.
Ahora que los usuarios son más conscientes de la seguridad en las contraseñas, Ian está planeando implementar el uso de frases de contraseña (passphrases). Estas contraseñas más largas ofrecen mayor resistencia a ataques de fuerza bruta. Ian también tiene previsto ampliar el período de expiración para que los usuarios no tengan que cambiar sus frases de contraseña con tanta frecuencia.
Para el despliegue de las passphrases, Ian está organizando comunicaciones para los usuarios, incluyendo formación en seguridad, correos electrónicos y alertas en el escritorio. Ya se está impartiendo formación para ofrecer a los usuarios sugerencias sobre cómo crear una frase de contraseña segura, fácil de recordar y difícil de descifrar.
El Ayuntamiento está evaluando además otros productos de Specops Software para mejorar la experiencia de restablecimiento de contraseña en autoservicio.
