V2: REQUISITOS DE VERIFICACIÓN DE

AUTENTICACIÓN
La autenticación es el acto de establecer, o confirmar, a alguien (o algo así)
como auténtico y que las afirmaciones hechas por una persona o sobre un
dispositivo son correctas, resistentes a la suplantación y evitan la recuperación
o interceptación de contraseñas.

REQUISITOS DE SEGURIDAD DE
CONTRASEÑA

Comprobar que las contraseñas del

Comprobar que las contraseñas de
conjunto de usuarios tienen al
64 caracteres o más están
menos 12 caracteres de longitud
permitidas, pero pueden tener no
(después de combinar varios
más de 128 caracteres.
espacios)

Comprobar que cualquier carácter

Comprobar que los usuarios pueden
Unicode imprimible, incluidos los
cambiar su contraseña.
caracteres neutros del idioma, como
espacios y Emojis, está permitido en
las contraseñas.

Comprobar que las contraseñas

enviadas durante el registro de la cuenta,
el inicio de sesión y el cambio de
Comprobar que la funcionalidad de
contraseña se comprueban con un
cambio de contraseña requiere la
conjunto de contraseñas infringidas
contraseña actual y nueva del
localmente (como las 1.000 o 10.000
usuario.
contraseñas más comunes que
coinciden con la directiva de
contraseñas del sistema) o mediante
una API externa.

Comprobar que se proporciona un Comprobar que se proporciona un

medidor de fuerza de contraseña medidor de fuerza de contraseña
para ayudar a los usuarios a para ayudar a los usuarios a
establecer una contraseña más establecer una contraseña más
fuerte. fuerte.

Comprobar que no hay reglas de

composición de contraseñas que
Comprobar que no hay requisitos
limiten el tipo de caracteres
periódicos de rotación de
permitidos. No debe haber ningún
credenciales o historial de
requisito para mayúsculas o
contraseñas.
minúsculas o números o caracteres
especiales.

Comprobar que el usuario puede elegir

Comprobar que se permiten la
ver temporalmente toda la contraseña
funcionalidad de "pegar", las
enmascarada o ver temporalmente el
aplicaciones auxiliares de
último carácter mecanografiado de la
contraseñas del navegador y los
contraseña en plataformas que no
administradores de contraseñas
tienen esto como funcionalidad
externos.
integrada.
V2: REQUISITOS DE VERIFICACIÓN DE
AUTENTICACIÓN

REQUISITOS GENERALES DEL

AUTHENTICATOR
Comprobar que el uso de autenticadores
Comprobar que los controles anti-
débiles (como SMS y correo electrónico)
automatización son eficaces para
se limita a la verificación secundaria y la
mitigar las pruebas de credenciales
aprobación de transacciones y no como
violadas, la fuerza bruta y los ataques
un reemplazo para métodos de
de bloqueo de cuentas.
autenticación más seguros.

Comprobar que las notificaciones

seguras se envían a los usuarios
después de las actualizaciones de los
detalles de autenticación, como
restablecimientos de credenciales,
cambios de correo electrónico o
dirección, iniciar sesión desde
ubicaciones desconocidas o de riesgo.
Verificar la resistencia a la suplantación
contra el phishing, como el uso de
autenticación multifactor, dispositivos
criptográficos con intención (como claves
conectadas con una inserción para
autenticar) o en niveles AAL más altos,
certificados del lado cliente.

Comprobar que cuando un proveedor

Verificar la resistencia de reproducción a
de servicios de credenciales (CSP) y
través del uso obligatorio de dispositivos
la aplicación que comprueba la
de contraseñas únicas (OTP),
autenticación están separados, TLS
autenticadores criptográficos o códigos
mutuamente autenticado está en su
de búsqueda.
lugar entre los dos puntos de
conexión.

REQUISITOS DEL CICLO DE VIDA DEL

AUTENTICADOR

Los autenticadores son contraseñas, tokens flexibles, tokens de hardware y dispositivos

biométricos. El ciclo de vida de los autenticadores es fundamental para la seguridad de
una aplicación: si alguien puede autoinscribir una cuenta sin evidencia de identidad,
puede haber poca confianza en la afirmación de identidad. Para sitios de redes sociales
como Reddit, eso está perfectamente bien. Para los sistemas bancarios, un mayor
enfoque en el registro y emisión de credenciales y dispositivos es fundamental para la
seguridad de la aplicación.

Compruebe que se admite la

Verificar contraseñas iniciales inscripción y el uso de dispositivos
generadas por el sistema o códigos de autenticación proporcionados por
de activación DEBE generarse de suscriptor, como tokens U2F o FIDO.
forma segura al azar, DEBE tener al
menos 6 caracteres de largo y
PUEDE contener letras y números, y
expirar después de un corto período
de tiempo. Estos secretos iniciales
Compruebe que las instrucciones de
no deben permitirse convertirse en la
renovación se envían con tiempo
contraseña a largo plazo.
suficiente para renovar los
autenticadores con límite de tiempo.
V2: REQUISITOS DE VERIFICACIÓN DE
AUTENTICACIÓN

REQUISITOS DE ALMACENAMIENTO DE
CREDENCIALES

Comprobar que las contraseñas se

almacenan en un formulario resistente a
los ataques sin conexión. Las contraseñas Verificar que la sal tenga al menos
se salarán y se verán mermadas utilizando
32 bits de longitud y elija
una función de derivación de clave
arbitrariamente para minimizar las
unidireccional aprobada o hash de
colisiones de valor de sal entre los
contraseña. Las funciones de derivación
hashes almacenados. Para cada
de claves y hash de contraseña toman una
contraseña, una sal y un factor de costo credencial, se almacenará un valor
como entradas al generar un hash de de sal único y el hash resultante.
contraseña.

Compruebe que si se utiliza PBKDF2,

Compruebe que si se utiliza bcrypt, el
el recuento de iteración debe ser tan
factor de trabajo DEBE ser tan
grande como el rendimiento del
grande como el rendimiento del
servidor de verificación permitirá,
servidor de verificación permitirá,
normalmente al menos 100.000
normalmente al menos 13.
iteraciones.

REQUISITOS DE RECUPERACIÓN DE
CREDENCIALES

Comprobar que un secreto de Comprobar que las sugerencias de

activación o recuperación inicial contraseña o la autenticación basada en
generado por el sistema no se envía conocimientos (las llamadas "preguntas
en texto sin cifrar al usuario. secretas") no estén presentes.

Comprobar que la recuperación de Verificar que las cuentas

credenciales de contraseña no compartidas o predeterminadas no
revele la contraseña actual de estén presentes (por ejemplo, "root",
ninguna manera. "admin" o "sa").

Verificar la contraseña olvidada y

otras rutas de recuperación utilizan
Comprobar que si se cambia o
un mecanismo de recuperación
reemplaza un factor de
seguro, como OTP basado en el
autenticación, se notifica al usuario
tiempo (TOTP) u otro token suave,
de este evento.
inserción móvil u otro mecanismo de
recuperación sin conexión.

Verifique que si se pierden los

factores de autenticación OTP o
multifactor, esa evidencia de la
prueba de identidad se realiza en el
mismo nivel que durante la
inscripción.
V2: REQUISITOS DE VERIFICACIÓN DE
AUTENTICACIÓN
REQUISITOS DEL VERIFICADOR SECRETO DE
BÚSQUEDA

Comprobar que los secretos de

Comprobar que los secretos de
búsqueda son resistentes a ataques
búsqueda solo se pueden usar una
sin conexión, como valores
vez.
predecibles.

Verificar que los secretos de búsqueda tengan suficiente aleatoriedad (112

bits de entropía), o si menos de 112 bits de entropía, salados con una sal
única y aleatoria de 32 bits y hashed con un hash unidireccional aprobado.

FUERA DE BANDA REQUISITOS DEL

VERIFICADOR

Comprobar que los autenticadores

de texto claro fuera de banda (NIST
Comprobar que el verificador fuera de
"restringido"), como SMS o PSTN, no
banda expira de las solicitudes de
se ofrecen de forma predeterminada,
autenticación de banda, códigos o
y primero se ofrecen alternativas
tokens después de 10 minutos.
más fuertes, como las notificaciones
push.

Comprobar que las solicitudes, Comprobar que el autenticador y

códigos o tokens de autenticación verificador fuera de banda se
del verificador fuera de banda solo comunica a través de un canal
se pueden utiliza una vez y solo para independiente seguro.
la solicitud de autenticación original.

Comprobar que el código de

autenticación inicial es generado por
Comprobar que el verificador fuera
un generador de números aleatorios
de banda solo conserva una versión
seguro, que contiene al menos 20
hash del código de autenticación.
bits de entropía (normalmente un
número aleatorio digital de seis es
suficiente).

REQUISITOS DE VERIFICADOR ÚNICO O

MULTIFACTOR DE UNA SOLA VEZ

Las contraseñas unidirección de un solo factor (OTPs) son tokens físicos o blandos que
muestran un desafío de una sola vez pseudoaleatario que cambia continuamente. Estos
dispositivos hacen que el phishing (suplantación) sea difícil, pero no imposible. Este tipo de
autenticador se considera "algo que tienes". Los tokens multifactor son similares a los OTPs de
un solo factor, pero requieren un código PIN válido, desbloqueo biométrico, inserción USB o
emparejamiento NFC o algún valor adicional (como calculadoras de firma de transacciones)
que se introducirá para crear la FISCALÍA final.

Comprobar que las claves simétricas

Comprobar que los OTPs basados en
el tiempo tienen una duración
definida antes de expirar.
utilizadas para verificar los OTPs
enviados están altamente protegidas,
por ejemplo, mediante un módulo de
seguridad de hardware o
almacenamiento seguro de claves
basada en sistemas operativos.
V2: REQUISITOS DE VERIFICACIÓN DE
AUTENTICACIÓN
REQUISITOS DE SEGURIDAD DE
CONTRASEÑA

Verificar que los algoritmos

Verificar que el OTP basado en el
criptográficos aprobados se utilicen
tiempo se pueda utilizar solamente
en la generación, siembra y
una vez dentro del período de
verificación de OTPs.
validez.

Comprobar que si se reutiliza un Verificar que el generador OTP físico

token OTP multifactor basado en el
tiempo durante el período de validez,
se registra y se rechaza con
notificaciones seguras que se envían
al titular del dispositivo.
de un solo factor pueda ser revocado
en caso de robo u otra pérdida.
Asegúrese de que la revocación sea
inmediatamente efectiva en todas
las sesiones registradas,
independientemente de la ubicación.

REQUISITOS DE VERIFICADOR DE SOFTWARE

Y DISPOSITIVOS CRIPTOGRÁFICOS

Comprobar que el desafío nonce tiene al

Comprobar que los algoritmos menos 64 bits de longitud y
criptográficos aprobados se utilizan estadísticamente único o único a lo
en la generación, la siembra y la largo de la vida útil del dispositivo
verificación. criptográfico.

Comprobar que las claves criptográficas utilizadas en la verificación se

almacenan de forma segura y protegidas contra la divulgación, como el
uso de un módulo de plataforma segura (TPM) o un módulo de seguridad
de hardware (HSM), o un servicio de sistema operativo que puede usar
este almacenamiento seguro.

REQUISITOS DE AUTENTICACIÓN DE SERVICIO

Comprobar que si se requieren

Comprobar que los secretos dentro
contraseñas para la autenticación de
del servicio no se basan en
servicio, la cuenta de servicio
credenciales inmutables, como
utilizada no es una credencial
contraseñas, claves de API o
predeterminada. (por ejemplo,
cuentas compartidas con acceso
root/root o admin/admin son
con privilegios.
predeterminados en algunos
servicios durante la instalación).

Compruebe contraseñas, integraciones

Comprobar que las contraseñas se
almacenan con suficiente protección
para evitar ataques de recuperación
sin conexión, incluido el acceso al
sistema local.
con bases de datos y sistemas de
terceros, semillas y secretos internos, y
las claves de API se administran de
forma segura y no se incluyen en el
código fuente ni se almacenan en
repositorios de código fuente.