Estándares de cumplimiento
Algunas organizaciones están obligadas a adherirse a uno o más estándares de cumplimiento para sus políticas de autenticación. Specops Password Auditor proporciona una manera de evaluar qué tan bien se comparan sus políticas con diferentes estándares de cumplimiento, como NIST, NCSC y PCI, entre otros. Para ver una lista completa de los estándares compatibles, consulte la sección a continuación.
El informe de Cumplimiento de la Política de Contraseñas en Specops Password Auditor proporciona una visión general de las políticas en su Active Directory (o la parte de su AD que definió al inicio de su escaneo). Password Auditor proporcionará resultados para la Política de Contraseña de Dominio Predeterminada, cualquier Política de Contraseña de Grano Fino, así como cualquier política de Specops Password Policy (si está instalada).
Informe de Cumplimiento de la Política de Contraseñas
Este informe proporciona una visión general del cumplimiento con los estándares de la industria para cada política. Cada estándar tiene diferentes criterios para la autenticación.
Indicadores de cumplimiento
El informe de Cumplimiento de la Política de Contraseñas enumera el cumplimiento con los estándares de la industria para cada política mediante indicadores.
- Rojo: no cumplimiento. La política no cumple con ninguno de los criterios establecidos por el estándar.
- Amarillo: cumplimiento parcial. La política cumple con algunos pero no todos los criterios establecidos por el estándar.
- Verde: cumplimiento total. La política cumple con todos los criterios establecidos por el estándar.
Ver cumplimiento con estándares individuales
- Haga clic en cualquiera de los indicadores de cumplimiento
- Se muestra una tabla con cada fila representando una regla en el estándar, la configuración de la política actual para esa regla y el requisito del estándar.
Ajustar la visión general del cumplimiento
Puede mostrar u ocultar cualquier columna en la visión general.
- Haga clic en el desplegable Seleccionar
- Quite la marca de verificación junto al estándar que desea ocultar o ponga una marca de verificación junto a él para mostrarlo nuevamente.
Entropía
La columna de entropía no está específicamente relacionada con los estándares de cumplimiento descritos. En cambio, es una medida de cuán “fuertes” son las contraseñas permitidas por las diferentes políticas.
Estándares de cumplimiento
Specops Password Auditor proporciona soporte para los siguientes estándares:
Nota
Specops Password Auditor verificará tanto las políticas integradas de Windows como aquellas creadas con Specops Password Policy (con Specops Breached Password Protection).
Por ejemplo, los estándares que requieren que los usuarios no usen palabras del diccionario (Prohibir contraseñas del diccionario) se marcarán como no conformes si no se utiliza Specops Password Policy, o si la política en Specops Password Policy no está configurada para satisfacer los criterios.
Las tablas a continuación muestran qué criterios de cumplimiento requieren herramientas de política adicionales:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Descripción
El Instituto Nacional de Estándares y Tecnología (NIST) establece los estándares de seguridad de la información para las agencias federales en los Estados Unidos.
Con un fuerte énfasis en simplificar las contraseñas para los usuarios y colocar la carga en los sistemas de autenticación, la aplicación del diccionario es un componente importante de las recomendaciones de NIST.
Con Specops Password Policy, puede crear su propio diccionario para bloquear palabras comunes en su organización o usar Breached Password Protection para bloquear el uso de más de 3 mil millones de contraseñas comprometidas.
| Regla | Valor |
|---|---|
| Longitud mínima | 8 |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
PCI V4
Descripción
Los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) son un conjunto de estándares y directrices para que las empresas gestionen y aseguren los datos personales relacionados con tarjetas de crédito. Es un estándar global establecido por las principales compañías de tarjetas de crédito: Visa, Mastercard y American, en un esfuerzo por proteger los datos de las tarjetas de crédito contra el robo.
Los requisitos de PCI-DSS están fuertemente enfocados en la composición de las contraseñas y se pueden lograr fácilmente con una herramienta de política de contraseñas de terceros, como Specops Password Policy.
Si desea protegerse contra ataques modernos de contraseñas, puede utilizar el diccionario personalizado de Specops Password Policy para evitar el uso de contraseñas comunes en su organización. Con Specops Breached Password Protection, puede bloquear el uso de más de 3 mil millones de contraseñas comprometidas.
| Regla | Valor |
|---|---|
| Longitud mínima | 7 |
| Edad máxima | 90 días |
| Usar frase de contraseña* | Sí |
| Historial de contraseñas | 4 |
| Complejidad | Dígito, Minúscula |
CJIS
Descripción
La División de Servicios de Información de Justicia Criminal (CJIS) del Buró Federal de Investigaciones (FBI) de EE. UU. proporciona a las agencias de aplicación de la ley y justicia criminal estatales, locales y federales acceso a información de justicia criminal (CJI), por ejemplo, registros de huellas dactilares e historiales criminales.
Las agencias de aplicación de la ley y otras agencias gubernamentales en los Estados Unidos deben asegurarse de que su uso de servicios en la nube para la transmisión, almacenamiento o procesamiento de CJI cumpla con la Política de Seguridad de CJIS, que establece requisitos mínimos de seguridad y controles para proteger CJI.
La Política de Seguridad de CJIS describe dos conjuntos de estándares de contraseñas: Básico y Avanzado. El informe aquí muestra cómo las políticas de contraseñas se comparan con el estándar Básico.
| Regla | Valor |
|---|---|
| Longitud mínima | 8 |
| Edad mínima | 90 días |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
| Historial de contraseñas | 10 |
| Prohibir contraseñas incrementales* | Sí |
HITRUST
Descripción
El Health Information Trust (HITRUST) es un marco que proporciona una manera de cumplir con los estándares a menudo vagos que se aplican a la industria de la salud en los Estados Unidos, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).
| Regla | Valor |
|---|---|
| Longitud mínima | 8 |
| Edad máxima | 90 días |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
| Historial de contraseñas | 4 |
| Prohibir contraseñas incrementales* | Sí |
| Complejidad | 2 de Dígito, Minúscula, Especial |
NCSC
Descripción
El Centro Nacional de Seguridad Cibernética (NCSC) es una organización del gobierno del Reino Unido cuyo esquema de acreditación aprobado, Cyber Essentials, proporciona una base estandarizada para políticas, controles y tecnologías de seguridad cibernética.
Con un fuerte énfasis en simplificar las contraseñas para los usuarios y colocar la carga en los sistemas de autenticación, la aplicación del diccionario y fomentar el uso de frases de contraseña son componentes importantes del estándar del Reino Unido.
Con Specops Password Policy, puede crear su propio diccionario para bloquear palabras comunes en su organización o usar Breached Password Protection para bloquear el uso de más de 3 mil millones de contraseñas comprometidas.
| Regla | Valor |
|---|---|
| Longitud mínima | 8 |
| Usar frase de contraseña* | Sí |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
BSI
Descripción
La Oficina Federal de Seguridad de la Información de Alemania (Bundesamt für Sicherheit in der Informationstechnik, abreviado como BSI) es una agencia responsable de la seguridad de la información para el gobierno federal alemán.
El BSI también es el organismo central de certificación para sistemas de TI. Esto significa que cualquier producto o sistema de TI que vaya a ser utilizado por el gobierno federal debe cumplir con los estándares de seguridad del BSI.
| Regla | Valor |
|---|---|
| Longitud mínima | 8 |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
| Historial de contraseñas | 4 |
| Complejidad | 2 de Dígito, Minúscula, Especial, Mayúscula |
ANSSI
Descripción
La Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI) es la autoridad nacional de Francia encargada de apoyar y asegurar el desarrollo de la tecnología digital.
El estándar de seguridad de ANSSI incluye varias recomendaciones de contraseñas, incluyendo la verificación contra una lista de contraseñas comprometidas conocidas y fomentar el uso de frases de contraseña.
| Regla | Valor |
|---|---|
| Longitud mínima | 15 |
| Usar frase de contraseña* | Sí |
| Prohibir contraseñas del diccionario* | Sí |
| Prohibir contraseñas comprometidas** | Sí |
| Historial de contraseñas | 4 |
| Complejidad | 3 de Dígito, Minúscula, Especial, Mayúscula |
CNIL
Descripción
La privacidad de los datos se ha convertido en una prioridad para las empresas globales debido a regulaciones extensas como el Reglamento General de Protección de Datos (GDPR). Al mismo tiempo, otros organismos reguladores continúan haciendo cumplir las leyes locales de privacidad de datos. En Francia, por ejemplo, la autoridad de protección de datos es la Comisión nationale de l’informatique et des libertés (CNIL).
La CNIL proporciona orientación sobre ciberseguridad relacionada con la recopilación, almacenamiento y uso de datos personales. Naturalmente, asegurar las contraseñas es una parte importante de la orientación.
| Regla | Valor |
|---|---|
| Longitud mínima | 12 |
| Prohibir contraseñas comprometidas** | Sí |
| Complejidad | Dígito, Minúscula, Especial, Mayúscula |