Palabras prohibidas en contraseñas en entornos híbridos Azure AD y WSAD

 

Hola, 

A pesar de que está a la vista y es fácil de implementar, pocas o ninguna vez he encontrado la hibridación de la configuración avanzada de política de contraseñas entre Azure AD y Windows Server Active Directory.

En la ruta; Azure AD - Seguridad - Seguridad - Métodos de autenticación - Protección con contraseña, encontramos las opciones donde podemos bloquear al usuario tras 10 intentos, por defecto, fallidos durante en un principio 60 segundos. 

En este lugar, podemos también configurar una lista personalizada de palabras prohibidas en la contraseña, lo cual es realmente útil. Lo que nos permite además, si contamos con un entorno Windows Server Active Directory, descargar el software   que tras ser instalado en el DC o bien en un servidor que "vea" al DC y por otro lado, tenga acceso limitado a internet (Implementación de la protección con contraseña de Azure AD local - Microsoft Entra | Microsoft Learn) nos hace llegar la lista de palabras prohibidas personalizada a los cambios de contraseñas que se produzcan en el ámbito On premises.

AzureADPasswordProtectionProxySetup.exe

Realmente, el procedimiento de validación de contraseñas con palabras prohibidas, no funciona como todos creemos pensar, a continuación lo explicaré y realmente es algo más importante aún, conocer que previamente a la comprobación de nuestra lista predeterminada, Azure AD, comprueba la existencia de palabras prohibidas en una lista global que mantiene el fabricante.

De hecho, La comprobación de una contraseña para su aceptación en un entorno híbrido o solo cloud pasa por las siguientes comprobaciones: 

 

• Toda contraseña introducida se comprueba, antes de su aceptación, en una lista de contraseñas globales prohibidas, añadiré algo extraño y es que de contener una palabra de la lista. a la contraseña se le otorga un punto.
• Tras esto, se comprueba si la contraseña contiene una palabra prohibida de nuestra lista personalizada y de existir, se otorgará un punto.
• La contraseña pasa por un proceso de normalización, se convierten mayúsculas por minúsculas, se asociada cada letra a similares como a = @  o = 0 y se componen todas las variaciones posibles.
• Se crean variaciones para evitar contraseñas aproximadas
• Si la contraseña anterior era por ejemplo Alicante01 se comprueba si se trata Alicante10 o ej. abcdeg o abcdefg de existir esto se otorgaría un punto.
• Se comprueba si esa misma contraseña ha sido utilizada por el usuario anteriormente y de ser así se prohíbe.
• Se comprueba si la contraseña coincide con su nombre,  apellido o similitudes de información personal:  Miguel  o Miguel123 o aaaHern@ndez por ejemplo y de ser así, se otorga un punto.

Proceso de puntuación de contraseñas:

 

• Proceso de puntuación para aceptaciones o denegaciones.
• Por ejemplo una contraseña larga que contenga palabras prohibidas podría aceptarse
• Una contraseña que contenga su nombre tiene un punto
• Una contraseña que contenga una contraseña previamente utilizada un punto
• Cada palabra prohibida encontrada en una cadena  tiene un punto
• Cada carácter no prohibido encontrado tiene un punto
• La contraseña ha de tener 5 puntos o más.

Ejemplo:

 Prohibimos Alicante en la lista de palabras prohibidas y tratamos de utilizar  Al1c@nt3AN

                Al1c@nt3= 1 punto

                A = 1 punto

                N = 1 punto

                Total 3 puntos, la contraseña no se admite.

 

En cambio Al1c@nt3Aaaa

             Al1c@nt3 = 1 punto

Aaaa = 4 puntos (4 caracteres)

Total  5 puntos Al1c@nt3Aaaa se admite a pesar de estar Alicante prohibida.

Como apunte avanzado, revisa la documentación si dispone de varios bosques de WSAD on premises.

https://learn.microsoft.com/es-es/azure/active-directory/authentication/howto-password-ban-bad-on-premises-deploy#read-only-domain-controller-considerations