Todos los días, los administradores de sistemas tienen la ardua tarea de manejar múltiples tickets, muchos de los cuales son generados por usuarios que se bloquean en su cuenta cuando olvidan o escriben mal sus contraseñas demasiadas veces. Resolver estos bloqueos consume tiempo y dinero de la empresa, con un costo promedio de manejo de un ticket de casi 15 dólares*. Es importante que las organizaciones configuren cuidadosamente sus políticas de bloqueo de cuentas para ayudar a reducir el número de bloqueos sin comprometer la seguridad de su red. Aunque no es posible prevenir todos los bloqueos, implementar estas mejores prácticas puede reducir su número de manera significativa.
La duración del bloqueo de la cuenta depende de la información específica de la organización, como el número de usuarios o el tipo de industria. Establecer la duración en cero mantendrá la cuenta segura bloqueándola hasta que un administrador la desbloquee. Sin embargo, esto también da lugar a solicitudes excesivas al servicio de asistencia técnica. La duración recomendada es entre 30 y 60 minutos.
Si el umbral de bloqueo de la cuenta se establece demasiado bajo, los bloqueos accidentales serán frecuentes. Esto también podría hacer que la cuenta sea vulnerable a ataques de denegación de servicio, ya que es más fácil para el atacante ingresar intencionalmente las contraseñas incorrectas para bloquear la cuenta. Por otro lado, si el umbral se establece demasiado alto, la probabilidad de un ataque de fuerza bruta exitoso aumenta a medida que el atacante tiene más oportunidades de intentar adivinar las credenciales. El umbral recomendado es de 15 a 50.
Al calcular el valor de "restablecer el contador de bloqueo de cuenta después", las organizaciones deben tener en cuenta el tipo y el nivel de amenazas de seguridad que enfrentan, en equilibrio con el costo de las llamadas al servicio de asistencia técnica. Este valor debe ser menor o igual que la duración del bloqueo de la cuenta. La configuración recomendada es menos de 30 minutos.
Deben establecerse diferentes combinaciones de valores de política para usuarios de diversos niveles de seguridad. Esto es posible gracias a la función de política de contraseña detallada en Active Directory (AD). Para los usuarios de baja seguridad, los bloqueos de cuentas se pueden deshabilitar estableciendo el umbral en cero. Para los usuarios de alta seguridad, como administradores y gerentes, la duración del bloqueo de la cuenta debe establecerse en cero, por lo que una cuenta bloqueada solo puede ser desbloqueada por un administrador. Se debe establecer un umbral de bloqueo de cuenta bajo para estos usuarios, ya que deben recordar sus contraseñas e ingresar sus credenciales con precaución.
El noventa y cinco por ciento de las infracciones de seguridad cibernética es causado por errores humanos**. Las organizaciones pueden reducir este número llevando a cabo capacitaciones de concientización sobre seguridad cibernética con regularidad para educar a los empleados sobre cómo evitar bloqueos de cuentas.
El análisis de comportamiento del usuario (UBA) se puede utilizar para detectar picos inusuales en la actividad de bloqueo de cuentas de usuario. Esto resulta útil cuando las organizaciones tienen una gran cantidad de empleados y es imposible realizar un seguimiento de la actividad de bloqueo de la cuenta de cada usuario.
Una de las principales causas de los bloqueos de cuentas es el uso de credenciales obsoletas por parte de los servicios del sistema, tareas programadas o sesiones de terminal desconectadas. Limpiar el administrador de credenciales y reiniciar la computadora solucionará la mayoría de estos problemas.
Habilite las notificaciones para recibir alertas en tiempo real para los bloqueos de cuentas de usuario de alta seguridad, lo que puede ayudar a desbloquear estas cuentas más rápido. Utilice herramientas de terceros que puedan ejecutar scripts para desbloquear instantáneamente cuentas bloqueadas de alta prioridad.
Las aplicaciones móviles que usan credenciales AD (por ejemplo, Outlook y Microsoft Exchange Server) también pueden usar credenciales obsoletas. Los usuarios deben tener cuidado y actualizar sus credenciales después de dos o más cambios de contraseña. En Windows Server 2003 y versiones posteriores, si la contraseña ingresada es una de las dos contraseñas establecidas anteriormente, no se cuenta como una contraseña incorrecta.