Specops Breached Password Protection es un servicio que comprueba continuamente las contraseñas de tu Active Directory frente a una lista actualizada a diario de contraseñas comprometidas. La lista contiene más de 4.000 millones de contraseñas únicas procedentes de grandes brechas de datos, botnets de malware y contraseñas utilizadas en ataques reales que están ocurriendo en este momento.
La comprobación de contraseñas comprometidas puede realizarse (1) durante un escaneo diario y/o (2) durante un cambio de contraseña en Active Directory. Los usuarios no pueden elegir contraseñas comprometidas al cambiarlas y, si se detecta una contraseña comprometida durante un escaneo diario, se puede forzar su cambio en el siguiente inicio de sesión.
¿Cómo funciona?
Existen dos bases de datos diferentes de Breached Password Protection, y ambas están disponibles al habilitar Breached Password Protection dentro de Specops Password Policy:
- Breached Password Protection Complete. Esta base de datos se actualiza diariamente y contiene más de 4.000 millones de contraseñas. La base de datos se conecta a tu red mediante una clave API.
- Breached Password Protection Express. Esta base de datos es un subconjunto optimizado de la lista Complete. La lista Express también se utiliza al ejecutar un escaneo con Specops Password Auditor.
Puedes habilitar una u otra según tus preferencias de seguridad, aunque recomendamos activar ambas siempre que sea posible.
Hay dos eventos configurables para ejecutar el servicio Breached Password Protection: durante el cambio de contraseña y en los escaneos continuos diarios. Ambos se incluyen al habilitar Breached Password Protection en Specops Password Policy.
- Escaneos continuos. Cuando se configura, Breached Password Protection puede comprobar contraseñas frente a una base de datos actualizada diariamente. Los administradores pueden decidir cómo actuar ante una contraseña comprometida: forzar su cambio en el siguiente inicio de sesión o notificar a usuarios o administradores por correo electrónico o SMS.
- Cambio de contraseña. Cuando se configura, Breached Password Protection puede bloquear el uso de contraseñas comprometidas durante un evento de cambio de contraseña. Los usuarios no podrán utilizar ninguna contraseña incluida en la lista Express. Si se habilita la comprobación contra la base de datos Complete durante el cambio de contraseña, los administradores pueden optar por forzar el cambio en el siguiente inicio de sesión o enviar notificaciones por correo electrónico o SMS.
Escaneo continuo con Specops Breached Password Protection
La función de escaneo continuo comprueba todas las contraseñas de Active Directory frente a la API de Breached Password Protection una vez al día durante el escaneo periódico programado. Si está habilitado, la API se actualiza diariamente con contraseñas comprometidas detectadas a través de nuestro sistema honeypot de contraseñas, además de nuevas filtraciones identificadas en cuanto se producen.
Ninguna contraseña sale de la red local.
Las acciones opcionales de remediación incluyen forzar el cambio de contraseña en el siguiente inicio de sesión o enviar notificaciones por correo electrónico o SMS. La notificación por correo electrónico puede configurarse para notificar a cualquier usuario (incluyendo administradores).
Los resultados más recientes del escaneo están disponibles en los registros de eventos y en la página de informes del escaneo periódico dentro de la interfaz de administración.
Para más información sobre los requisitos técnicos de Specops Breached Password Protection, consulta nuestra documentación de referencia.
Funcionalidades
| Funcionalidad | Active Directory | Microsoft Entra (Azure AD) Password Protection | Specops Breached Password Protection |
|---|---|---|---|
| Lista de bloqueo incluye contraseñas filtradas de terceros (recomendado por NIST, NCSC, etc.) | n/a | No (no utiliza listas de terceros, según Microsoft) | Sí |
| Protege frente al uso de más de 4.000 millones de contraseñas comprometidas únicas compromised passwords | n/a | No (coincidencias aproximadas sobre 1 millón) | Sí |
| Bloquea contraseñas utilizadas en ataques de password spraying en curso | n/a | Parcialmente (solo términos base de la lista global) | Sí |
| Ofrece protección en controladores de dominio sin conexión a Internet externa | n/a | No | Sí (con Express) |
| Avisos de contraseñas comprometidas fuera de pantalla | n/a | No | Sí (correo electrónico y SMS) |
¿Cómo se ve?
Puedes configurar los ajustes de Specops Breached Password Protection desde la pantalla de administración de Specops Password Policy.
Los administradores pueden configurar las opciones de Specops Breached Password Protection desde la pantalla de administración de Specops Password Policy.
Configura si los usuarios deben cambiar sus contraseñas, así como el contenido de las notificaciones por correo electrónico y por SMS.
Activa las comprobaciones diarias de contraseñas comprometidas.
Configura si los usuarios deben cambiar las contraseñas comprometidas en el siguiente inicio de sesión, así como el texto de las notificaciones por correo electrónico.
Utiliza los campos CC o CCO para alertar al personal de TI o del servicio de asistencia.
.
Preguntas frecuentes
Nuestro equipo trabaja constantemente en la actualización de la lista utilizada por Specops Breached Password Protection. La lista Breached Password Protection Complete, conectada mediante API, se actualiza en cuanto se detectan nuevas contraseñas (al menos una vez al día). La lista Breached Password Protection Express, más ligera y descargable, se actualiza cada pocos meses.
Por razones de seguridad, no revelamos el contenido completo de Specops Breached Password Protection. Podemos confirmar, sin embargo, que la lista de más de 4.000 millones de contraseñas comprometidas incluye fuentes como HaveIBeenPwned, las listas Collection, y miles de otras filtraciones conocidas, siguiendo las recomendaciones de organismos como NIST, CMMC y NCSC, entre otros.
Nuestras fuentes también incluyen contraseñas robadas por botnets de malware y contraseñas utilizadas en ataques reales de password spraying activos en este momento.
Nuestro sistema de monitorización de ataques actualiza el servicio a diario y garantiza que los usuarios de la organización no puedan usar contraseñas comprometidas al cambiarlas o restablecerlas.
No. El Sentinel Password Filter genera un bcrypt hash de la nueva contraseña del usuario. Ni la contraseña ni el hash se exponen externamente.
Solo los primeros bytes del bcrypt hash se utilizan para consultar el conjunto de coincidencias, y la verificación se realiza localmente, en el controlador de dominio de la organización.
¿Tienes alguna duda que no aparece aquí? Estamos encantados de ayudarte. Ponte en contacto con tu representante de Specops o haz clic aquí para contactarnos.
Descubre cuántas contraseñas de tus usuarios son vulnerables
Specops Password Auditor es una herramienta gratuita que analiza las contraseñas de las cuentas de usuario de Active Directory y las compara con nuestra lista de contraseñas comprometidas. El Auditor también ofrece una visión completa de las cuentas de administrador del dominio, incluidas las cuentas inactivas o sin uso. Desde una sola vista, podrás identificar vulnerabilidades y reforzar tu plan de seguridad.
Basta con una sola contraseña filtrada para generar un riesgo de compromiso. Descarga tu copia gratuita de Specops Password Auditor aquí.
Solicita una demostración de Specops Breached Password Protection
¿Quieres ver cómo funciona Specops Breached Password Protection en tu entorno? Este servicio forma parte de Specops Password Policy, una herramienta para Active Directory que amplía las capacidades de Group Policy y facilita la gestión de políticas de contraseñas detalladas.
Haz clic aquí para solicitar una demo o versión de prueba de Specops Password Policy y Breached Password Protection.
Lo que opinan nuestros clientes
