Configura la directiva de contraseñas de Windows por seguridad

Configura la directiva de contraseñas de Windows por seguridad

Javier Jiménez

Windows cuenta con una directiva de contraseñas que podemos habilitar de forma sencilla y rápida. Esta característica nos permite mejorar la seguridad y proteger nuestros equipos. La podemos configurar a través del Editor de directivas de grupo local y en este artículo vamos a explicar paso a paso cómo hacerlo. Explicaremos todo lo necesario para usar esta directiva en Windows 10.

¿Qué es la directiva de contraseñas?

Se trata de un conjunto de reglas que se utilizan para aumentar la seguridad de las contraseñas, y se puede usar a nivel usuario en el Sistema Operativo de nuestros ordenadores, pero también está disponible para los Windows Server. Esta obligará a los usuarios a configurar una longitud mínima de la contraseña, y establecerá algunos parámetros como el tiempo en el que estará vigente, o el historial de las mismas. Esta última consiste en que el usuario no podrá renovar su contraseña usando una con una antigüedad menor a la que establezcamos en nuestro equipo o servidor. Estas opciones las veremos en detalle en esta misma entrada.

Mediante estas directivas se pueden conseguir contraseñas que sean más complejas a la hora de descifrarlas o adivinarlas. Cuanto más simple sea, mayor es el problema que puede suponer para la seguridad de una cuenta. Con esto aplicado, el usuario no podrá establecer ninguna contraseña que no cumpla con los requisitos al 100%.

Por qué utilizar la directiva de contraseñas

En primer lugar vamos a explicar por qué es interesante utilizar esta característica y configurar la directiva de contraseñas de Windows. Hay que partir de la base de que las claves son la principal barrera de seguridad que podemos utilizar para evitar intrusos en nuestras cuentas y dispositivos.

Cuando instalamos Windows en nuestro equipo podemos crear cualquier contraseña. Esa clave va a permitir que accedamos al usuario. Pero claro, de primeras vamos a poder poner cualquier cosa que se nos ocurra. Si por ejemplo ponemos la clave de acceso 123456, el sistema lo daría por bueno. Ahora bien, ni de lejos es una barrera de seguridad correcta. Este tipo de claves son las primeras que siempre van a utilizar los piratas informáticos para probar o las que van a aparecer en diccionarios de fuerza bruta.

Para evitar problemas al crear claves, el sistema operativo de Microsoft cuenta con la directiva de contraseñas. Una característica que podemos habilitar y configurar para que actúe como si fuera un “semáforo” que nos indica si esa clave que estamos creando es correcta o no. En caso de que pongamos una contraseña débil e insegura, como el ejemplo de 123456, no nos dejaría.

Por tanto, si nos preguntamos para qué sirve la directiva de contraseñas de Windows y por qué debemos utilizarla, la respuesta es clara: seguridad. Si queremos evitar intrusos y reducir al máximo la probabilidad de que averigüen la clave de acceso, es una buena idea. Es cierto que puedes usar también otra herramientas externas para ello, pero en este caso no vas a tener que instalar nada al ser una opción que viene integrada en el equipo.

Cómo acceder a la directiva de contraseñas

En primer lugar tenemos que ir al Editor de directivas de grupo local. Para ello basta con pulsar la combinación de teclas Windows+R y ejecutar gpedit.msc. También podemos hacer clic con el botón derecho encima del botón Inicio y pinchamos en Ejecutar.

Cuando nos encontremos dentro hay que ir a Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas de cuenta. Tenemos que abrir esta carpeta y nos aparecerán otras. La que nos interesa es la de Directiva de contraseñas.

Directiva de contraseñas

Nos aparecerá un menú con todas las configuraciones posibles. Serán básicamente los elementos que vamos a poder habilitar y configurar dentro de la directiva de contraseñas de Windows. Es la parte principal de todo esto y lo veremos como aparece en la imagen de abajo.

Configurar contraseñas en Windows

Habilitar los requisitos y configuraciones

Después de explicar cómo podemos acceder a la directiva de contraseñas de Windows, vamos a hablar de cada una de las características. Todas ellas van a ayudar a que la clave que creemos sea lo más segura posible y que cumpla con todos los requisitos para mantener lejos a posibles intrusos.

Eso sí, debemos tener en cuenta que todos estos requisitos que vamos a ver y que podemos o no habilitar, no se aplicarán con las contraseñas que ya tenemos creadas. Por tanto, si queremos mejorar la seguridad lo aconsejable es cambiar la clave una vez configuremos esto correctamente.

La contraseña debe cumplir los requisitos de complejidad

En primer lugar debemos activar la característica “La contraseña debe cumplir los requisitos de complejidad”. De forma predeterminada vendrá deshabilitada. Básicamente es lo que va a permitir que la nueva contraseña que creemos, o al cambiar una clave ya existente, cumpla con los requisitos como la longitud o el uso de letras mayúsculas y minúsculas, números y otros caracteres.

Estos últimos parámetros que mencionamos es lo que va a otorgar realmente complejidad a una clave de acceso. No debemos crear una que solo tenga letras o incluso letras y números; lo ideal es que también cuente con algún símbolo adicional, como por ejemplo “%”, “&”, “$”…

Requisitos de contraseñas

Los requisitos que las contraseñas deben cumplir nos los indica el propio Windows, pero esto se puede modificar. Pero lo vemos un poco más dedicado al sector empresarial con gran afluencia de usuarios. Estos son:

  1. La contraseña no debe contener el nombre de la cuenta del usuario o en su defecto, más de dos caracteres contiguos del mismo.
  2. Disponer al menos de seis caracteres de longitud y contener al menos tres de los tipos de caracteres que Windows nos indica.
  • Caracteres en mayúscula en ingles.
  • Caracteres en minúscula en inglés.
  • Base de 10 dígitos (de 0 a 9)
  • Caracteres especiales (símbolos como ?, $, %)

Si pinchamos y hacemos clic en Propiedades y posteriormente vamos a Explicación, veremos la información relacionada con esta característica.

Exigir historial de contraseñas

Esto es interesante para asegurarnos de crear contraseñas únicas y que no se repitan. Pongamos que hace un tiempo usamos una clave de acceso y se filtró por algún motivo. Creamos otra diferente pero al cambiarla de nuevo volvimos a poner la misma que se filtró hace tiempo. Volverías a estar desprotegido y tendrías problemas.

Al exigir historial de contraseñas, Windows no nos va a dejar poner una clave que ya pusimos anteriormente. De forma predeterminada no guardará las contraseñas, pero podemos ponerle un número para que sí lo haga. Por ejemplo “20” y que recuerde las últimas 20 claves que hemos puesto.

Guardar historial de contraseñas

Longitud mínima de la contraseña

Otro factor también muy importante es la longitud de la contraseña. Simplemente con añadir una letra, un número o un símbolo más a una clave, vamos a lograr que sea mucho más segura. Por tanto, la cantidad que pongamos va a ser esencial. Mientras mayor sea, más combinaciones posibles va a haber.

Cuando activamos los requisitos de complejidad, automáticamente la longitud mínima de esa contraseña pasa a ser de 6. No podríamos, por ejemplo, crear una contraseña que tuviera solo 5 caracteres. En ese caso se consideraría insegura y no nos dejaría.

Ahora bien, 6 sigue siendo una cifra muy baja. Lo ideal es que tenga al menos 10-12 caracteres. Podemos configurarlo de esta forma y que nos exija contraseñas que sean más largas y podamos estar más seguros. Si utilizas una clave muy corta, un pirata informático podría utilizar herramientas de fuerza bruta y averiguarla.

Vigencia máxima y mínima de la contraseña

Veremos también que aparecen dos opciones que nos indican la vigencia máxima y la mínima de una clave. De forma predeterminada, en el primer caso viene marcado en 42 días y el segundo en 0 días. ¿Qué significa esto?

Asignar una vigencia máxima significa que vamos a tener que cambiar la clave antes de esa fecha. Por ejemplo si ponemos 30 días o si dejamos los 42 días que vienen predeterminados, una vez pase ese tiempo Windows nos exigirá poner otra contraseña y evitaremos estar usando siempre la misma.

En el caso de la vigencia mínima, esto significa que es el tiempo mínimo que va a estar vigente una clave que hemos creado. De esta forma evitaremos cambiar de contraseña antes de esa fecha. No obstante, esto lo ideal es mantenerlo a 0 y que nos permita cambiarla tantas veces como queramos, ya que no es un problema.

Almacenar contraseñas con cifrado reversible

Si miramos la lista de característica que tenemos dentro de la Directiva de contraseña, una de ellas es la de almacenar contraseñas con cifrado reversible. La podemos activar o no y es una opción más que puede determinar la seguridad y estar más o menos protegidos.

En este caso lo que hacemos es habilitar o no que Windows pueda almacenar contraseñas con cifrado reversible. Esto va a proporcionar compatibilidad para aplicaciones que utilizan protocolos que exigen el conocimiento de la clave del usuario para fines de autenticación.

Nuestro consejo es no habilitar nunca esta opción. Básicamente significa lo mismo que tener almacenadas contraseñas en texto plano. No es lo ideal y salvo que sea necesario por algún motivo y nos interese, deberíamos dejarla tal y como aparece de forma predeterminada. Lo mejor es evitar cualquier riesgo que comprometa nuestro sistema.

Todos estos factores, cobran mucha más importancia a nivel empresarial como hemos comentando anteriormente. Cuando tienes una gran cantidad de usuarios activos, no solo es recomendable establecer las directivas de forma que se generen contraseñas complejas y se tengan que cambiar de forma frecuente, si no que lo más recomendable es establecer también unos tiempos para cambiar las propias directivas. De esta forma a mayores de evitar contraseñas con los mismos formatos pero cambiando una palabra o un número, podemos obligar a los usuarios a generar contraseñas con estructuras completamente diferentes.

Seguridad complementaria

Cuando una organización tiene gran cantidad de usuarios los cuales necesitan autenticarse en algún equipo, siempre se aplican las directivas que comentamos. Estas pueden variar dependiendo el lugar, y como el administrador decide aplicarlas. Por lo general esto es algo progresivo, ya que si durante un determinado periodo de tiempo se establecen unas directivas de longitud por ejemplo, es posible que esto se aumente con el paso del tiempo. Una vez se termine un proceso entero, que será cuando el administrador considere, puede empezar de nuevo, aunque es poco recomendable permitir que las contraseñas sean más cortas, por ejemplo.

Pero en muchas ocasiones con las directivas de contraseñas no es suficiente, pues si los acceso que vamos a otorgar son muy delicados, se pueden exigir otro métodos de autenticación o que se apliquen ciertas prácticas que mejoran la seguridad. Como por ejemplo el no dar uso de estas contraseñas en otros servicios, por lo cual sería más complejo de detectar, y reduce el riesgo de ataques de fuerza bruta. Esto ocurre porque normalmente en grandes servidores de usuarios hay mucha protección, por lo cual añadiendo este paso, se aumenta considerablemente.

Exigir un segundo factor de autenticación puede ser otra solución. Se pueden utilizar algunas muy simples como el uso de direcciones de correo alternativas, un número de teléfono al cual se pueda enviar un mensaje o con el uso de aplicaciones dedicadas a esto como Google Auhenticator. Esto puede ayudar también en los casos de que un usuario se olvide de los datos de acceso.

Pero hay otro factor de autenticación, el cual con el paso del tiempo se utiliza más, y es mediante el uso de certificados. Esto puede ser a nivel físico, con tarjetas con certificados Camerfirma por ejemplo, o digitales, como los certificados FNMT. Estos pueden ser solicitados por todo el mundo en la página oficial de FNMT. Estos nos solo nos dan una opción de firma, si no que puede utilizarse para realizar controles de acceso. Esto es más común cuando se trata de accesos a aplicaciones que contienen datos muy sensibles, donde los usuarios deben prestar una firma como que realmente necesitan acceder, y por lo tanto, se hacen responsables de lo que se realice dentro. Esto es muy común en el sector sanitario, por ejemplo.

Cómo ver que funciona la nueva directiva

Hemos explicado cómo habilitar la directiva de contraseñas y para qué sirve cada uno de los apartados que veremos en el menú principal. Ahora solo queda ponerlo en práctica y comprobar que realmente funciona y va a cumplir con su misión, que no es otra que permitir que tengamos contraseñas totalmente seguras.

¿Qué podemos hacer? Pues no hay nada mejor que crear una contraseña. Para ello tenemos que ir a Inicio, Configuración, vamos a Cuentas y allí pinchamos en Opciones de inicio de sesión. En “Contraseña” le damos a Añadir y ponemos cualquier cosa que no cumpla los requisitos que hemos puesto. Por ejemplo 12345.

Cuando hayamos creado la contraseña y le demos a Siguiente, nos lanzará un mensaje en el que nos indica que la clave que hemos puesto no cumple con los requisitos de la directiva de contraseñas. Esto nos mostrará que efectivamente se ha configurado correctamente. Puedes verificar que estás protegido para evitar el uso de claves inseguras.

Contraseña no cumple los requisitos

En definitiva, de esta forma funciona la directiva de contraseñas de Windows. Es una característica interesante para potenciar al máximo la seguridad de las claves que creemos en el sistema. Una manera más de estar protegidos y evitar problemas, con el objetivo siempre de evitar que los intrusos puedan acceder a nuestros equipos.

¡Sé el primero en comentar!