La mayoría de las instituciones utilizan un proveedor de identidades (por ejemplo, Azure Active Directory) para gestionar y autenticar a los usuarios. Una configuración de este tipo le permite crear usuarios en Learn que pueden establecer sus propias contraseñas. Usted puede determinar los requisitos de longitud y complejidad de las contraseñas, lo que puede mejorar el posicionamiento de la seguridad de los entornos de Learn cuando utiliza el proveedor predeterminado de autenticación.
- Inicio de sesión y políticas de contraseñas cuando los usuarios cambian la contraseña
- Duración, reutilización y vencimiento de contraseñas
- Reglas de longitud y complejidad de contraseñas
- Restricciones: uso de información personal y contraseñas expuestas en una filtración de datos.
Inicio de sesión y políticas de contraseñas cuando los usuarios cambian la contraseña.
El valor predeterminado de la contraseña es de 12 caracteres, pero puede establecer un requisito de longitud entre 8 y 32 caracteres. También puede definir de forma individual si se requieren letras mayúsculas y minúsculas, números y caracteres especiales.
Los registros de autenticación capturan los eventos de cambio de contraseña. Esto solo se aplica a los cambios de contraseña de Learn y no a los de un proveedor de identidades. Existen tres tipos de eventos:
- Un usuario cambió su propia contraseña.
- Un administrador u otro usuario con privilegios cambió la contraseña de otro usuario. Los detalles del evento mostrarán quién cambió la contraseña.
- Un usuario restableció su contraseña con la función de contraseña olvidada en Learn.
Un usuario cambia su contraseña en la experiencia Original:
Un usuario cambia su contraseña cuando la navegación básica se encuentra activa:
Revise la configuración cuando los usuarios vean la opción de restablecer contraseña en Learn. La configuración aparece en el Panel del administrador en una página nueva de configuración de contraseña.
Solo un administrador de sistemas con todos los privilegios puede acceder a ella. La configuración predeterminada establece un mínimo de 1 carácter numérico y 1 carácter especial, y una longitud mínima de 12 caracteres.
Configure los roles del sistema de manera que los usuarios no vean la opción de restablecimiento de contraseña de Learn cuando utilicen un proveedor de identidad (por ejemplo, en el caso del inicio de sesión único).
- Se aplican políticas de contraseñas reforzadas cuando un usuario cambia su propia contraseña. Esto incluye el uso de la herramienta de restablecimiento de contraseñas.
- Las políticas de contraseñas no se aplican cuando un usuario de soporte cambia la contraseña de otro usuario.
- Tampoco cuando se usa el marco de trabajo SIS, los Building Blocks o las REST API para cambiar las contraseñas.
Configuración de las políticas de longitud y complejidad de contraseñas:
Los registros de autenticación incluyen eventos de cambio de contraseña:
Duración, reutilización y vencimiento de contraseñas
Al usar un proveedor de identidades (por ejemplo, Azure Active Directory) para administrar y autenticar usuarios, los usuarios pueden establecer sus propias contraseñas. Para cumplir con los requisitos de seguridad de las contraseñas, el sistema puede solicitar a los usuarios lo siguiente:
- Cambiar la contraseña después de transcurridos determinados días desde la última contraseña. Después del vencimiento, los usuarios pueden iniciar sesión con su contraseña anterior, pero el sistema les pedirá que la cambien de inmediato para continuar.
- Esperar un intervalo de tiempo entre los cambios de contraseña. Cuando un usuario intenta cambiar una contraseña antes de que haya transcurrido la duración mínima, el sistema le informa que no puede cambiarla. Le recomendamos dirigirlos al servicio de asistencia.
- Impedir que los usuarios reutilicen contraseñas anteriores.
Si es necesario, puede pedir a los usuarios que cambien sus contraseñas para cumplir con las actualizaciones de las políticas de contraseñas en lugar de esperar a que se venzan automáticamente:
- La opción "Forzar vencimiento de contraseña" aparece en el Panel del administrador de la página Usuarios.
- Seleccione uno o varios usuarios a la vez. Los administradores de sistemas con todos los privilegios pueden usar esta función nueva de forma predeterminada. Si lo desea, puede conceder este privilegio a otros roles: "Panel del administrador (Usuarios) > Usuarios > Editar > Forzar vencimiento de contraseña".
- Si decide forzar el vencimiento de la contraseña de un usuario y se encuentra activada la política de duración mínima de las contraseñas, los usuarios no tendrán que esperar para cambiarla.
Por motivos de seguridad, las contraseñas ya no se almacenan en los paquetes de archivo.
Descargar un paquete de archivo:
Reglas de longitud y complejidad de contraseñas
Si cambia las contraseñas de otros usuarios, asegúrese de cumplir las normas de longitud y complejidad de las contraseñas.
Puede determinar las políticas de duración y reutilización. Esta configuración aparece en el Panel del administrador en la página de configuración de contraseña. Solo un administrador de sistemas con todos los privilegios puede acceder a ella. La configuración predeterminada aplica las siguientes políticas:
- Política de duración de las contraseñas: Esta opción está desactivada de forma predeterminada. Las siguientes reglas se pueden activar de forma independiente:
- El valor predeterminado de la duración mínima es de 24 horas. Defina un valor entre 1 y 720 horas.
Los usuarios nuevos no tendrán que esperar a que transcurra este plazo para cambiar sus contraseñas la primera vez. - El valor predeterminado de la duración máxima es 90 días. Defina un valor entre 29 y 360 días.
- El valor predeterminado de la duración mínima es de 24 horas. Defina un valor entre 1 y 720 horas.
- Política del historial de contraseñas: Esta opción está desactivada de forma predeterminada. Si se activa, puede especificar la cantidad de contraseñas que se usaron recientemente para que el sistema las verifique.
- El valor predeterminado es 10. Defina un valor entre 1 y 24.
Restricciones:
uso de información personal.
Las cuentas creadas en Learn pueden permitir a los usuarios establecer sus propias contraseñas. Para reforzar la seguridad, el uso de la información personal en las contraseñas se encuentra limitado.
La información personal incluye campos como el nombre, el segundo nombre, el apellido, el nombre de usuario y el ID del estudiante. Los usuarios no pueden incluir esta información cuando crean una contraseña. Recibirán una notificación del sistema si intentan utilizar la información de su perfil en la contraseña.
También debe evitar el uso de información personal cuando configura una contraseña para otro usuario.
Uso de contraseñas expuestas en una filtración de datos
Su institución también puede restringir las contraseñas que hayan quedado expuestas en una filtración de datos. Esta es una medida de seguridad importante, ya que las contraseñas como "123456", "qwerty" o "contraseña123" a menudo son víctimas de los piratas informáticos.
Cuando uno de los usuarios intenta cambiar su contraseña dentro del LMS, Learn la compara con una base de datos global de contraseñas vulneradas. Si la contraseña elegida figura en la base de datos, el sistema informa al usuario y se le solicita que seleccione una diferente. De este modo, se garantizan contraseñas seguras para todos los usuarios, y se minimiza el acceso no autorizado a sus cuentas.
La configuración de las herramientas del administrador para la política de protección de contraseñas expuestas se muestra de la siguiente manera:
Para la mayoría de las instituciones, esta función está desactivada de forma predeterminada. Debe activarla de forma manual para poder utilizarla.
Para clientes del gobierno de Estados Unidos que se encuentren dentro de los límites FedRAMP, la función está activada de forma predeterminada. Si el límite de cumplimiento cambia, debe confirmar la configuración.
