NIST 800-63B exige un mínimo de 8 y recomienda 12+ caracteres.
NIST recomienda cambiar solo ante evidencia de compromiso, no por calendario.
Número de contraseñas anteriores que no se pueden repetir.
Recomendación:
Madurez operativa mide cuántos controles tiene la política, sin importar qué tan modernos son. Alineación NIST mide qué tan recomendados son esos controles hoy. Una política puede tener muchos controles (madurez alta) pero estar basada en prácticas que NIST ya no recomienda (alineación baja) — es el caso típico de Active Directory tradicional.
| Severidad | Criterio | Comentario |
|---|---|---|
Su política se parece más a: (%). Está más alejada de: .
Comparación heurística aproximada basada en los controles detectados en el texto, no una certificación o auditoría formal contra estos marcos.
¿Qué hace una buena política de contraseñas hoy en día?
Durante años, las políticas de contraseñas se enfocaron en exigir combinaciones forzadas de mayúsculas, números y símbolos, y en obligar a cambiarlas cada 60 o 90 días. La guía actual de NIST (SP 800-63B) cambió ese enfoque: encontró que esas reglas a menudo producen contraseñas más predecibles y peor experiencia de usuario, sin mejorar realmente la seguridad.
El enfoque moderno prioriza tres cosas: longitud (más importante que la composición forzada), verificación contra listas de contraseñas filtradas o comunes, y autenticación multifactor como segunda capa de defensa — en vez de depender solo de qué tan "compleja" se ve una contraseña.
Expiración forzada: el cambio más contraintuitivo
Obligar a cambiar la contraseña cada cierto tiempo, sin evidencia de que fue comprometida, suele generar cambios mínimos predecibles (ej. "Enero2026!" → "Febrero2026!"). NIST recomienda exigir el cambio solo ante un incidente de seguridad conocido, compensando con monitoreo de brechas y MFA.
Recomendaciones generales
- Prioriza longitud sobre composición — 12+ caracteres es más efectivo que forzar símbolos en una contraseña corta.
- Verifica contra contraseñas filtradas — listas como las de Have I Been Pwned o el "banned password list" de Azure AD evitan las contraseñas más usadas en brechas reales.
- Exige MFA siempre que sea posible — reduce drásticamente el impacto de una contraseña comprometida.
- Usa bloqueo de cuenta con un umbral razonable (5-10 intentos) para mitigar fuerza bruta sin generar denegación de servicio fácil contra el propio usuario.
- Evita la expiración forzada por calendario sin evidencia de compromiso; si tu marco regulatorio la exige, documenta la excepción.
Preguntas frecuentes
¿Necesitas implementar o auditar tu política de contraseñas?
El equipo de IT Experts puede ayudarte a diseñar, implementar y auditar tus controles de identidad y acceso, incluyendo MFA, gestión de contraseñas y cumplimiento normativo.
Herramientas relacionadas
Otras herramientas gratuitas de IT Experts