Política de Contraseñas
¿Qué es Política de Contraseñas?
Política de ContraseñasConjunto documentado de reglas sobre cómo se crean, almacenan, rotan y validan las contraseñas de los usuarios para equilibrar seguridad y usabilidad.
Una política de contraseñas define los requisitos que la organización impone a los secretos elegidos por el usuario: longitud mínima, juego de caracteres permitido, comprobación contra listas de credenciales filtradas, reglas de expiración y umbrales de bloqueo. La guía moderna NIST SP 800-63B (revisión 3 y borrador 4) abandonó las rotaciones obligatorias y las reglas de composición complejas tras demostrarse que llevaban a contraseñas predecibles. La línea base actual recomienda al menos 8 caracteres (15+ para cuentas privilegiadas), verificación frente a listados como Have I Been Pwned y rotación solo ante evidencia de compromiso. Una buena política combina longitud, MFA, gestores de contraseñas y limitación de intentos.
● Ejemplos
- 01
Política de contraseñas detallada en Active Directory que exige 14 caracteres y comprobación HIBP para Domain Admins.
- 02
Un registro SaaS que rechaza cualquier contraseña presente en la API Pwned Passwords.
● Preguntas frecuentes
¿Qué es Política de Contraseñas?
Conjunto documentado de reglas sobre cómo se crean, almacenan, rotan y validan las contraseñas de los usuarios para equilibrar seguridad y usabilidad. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Política de Contraseñas?
Conjunto documentado de reglas sobre cómo se crean, almacenan, rotan y validan las contraseñas de los usuarios para equilibrar seguridad y usabilidad.
¿Cómo funciona Política de Contraseñas?
Una política de contraseñas define los requisitos que la organización impone a los secretos elegidos por el usuario: longitud mínima, juego de caracteres permitido, comprobación contra listas de credenciales filtradas, reglas de expiración y umbrales de bloqueo. La guía moderna NIST SP 800-63B (revisión 3 y borrador 4) abandonó las rotaciones obligatorias y las reglas de composición complejas tras demostrarse que llevaban a contraseñas predecibles. La línea base actual recomienda al menos 8 caracteres (15+ para cuentas privilegiadas), verificación frente a listados como Have I Been Pwned y rotación solo ante evidencia de compromiso. Una buena política combina longitud, MFA, gestores de contraseñas y limitación de intentos.
¿Cómo defenderse de Política de Contraseñas?
Las defensas contra Política de Contraseñas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Política de Contraseñas?
Nombres alternativos comunes: Reglas de contraseña, Política de credenciales.
● Términos relacionados
- identity-access№ 795
Contraseña
Cadena secreta de caracteres que un usuario presenta para probar su identidad ante un sistema; tradicionalmente, el mecanismo de autenticación de un solo factor dominante.
- identity-access№ 796
Entropia de Contrasena
Medida en bits de la imprevisibilidad de una contrasena: mayor entropia significa que se necesitan mas intentos para que un atacante la adivine.
- identity-access№ 884
Contrasena Filtrada (Pwned)
Contrasena que ya aparece en una filtracion conocida y por tanto nunca debe permitirse como secreto del usuario, segun el catalogo Have I Been Pwned de Troy Hunt.
- identity-access№ 797
Gestor de contraseñas
Aplicación que genera, almacena y autocompleta credenciales únicas y fuertes, protegida por una frase maestra y, cada vez más, por passkeys.
- identity-access№ 708
Autenticación multifactor (MFA)
Método de autenticación que requiere dos o más factores independientes —normalmente de categorías distintas— antes de conceder acceso.
- identity-access№ 009
Bloqueo de Cuenta
Control que bloquea, de forma temporal o permanente, los intentos de inicio de sesion tras un numero configurado de fallos consecutivos para frenar el adivinado en linea.