Políticas de contraseñas
La mayoría de las instituciones utilizan un proveedor de identidades (por ejemplo, Azure Active Directory) para gestionar y autenticar a los usuarios. Esta configuración le permite crear usuarios en Blackboard, donde pueden establecer sus propias contraseñas. Usted puede determinar los requisitos de longitud y complejidad de las contraseñas, Cuando utilice el proveedor predeterminado de autenticación, mejorará la postura de seguridad de los entornos de Blackboard.
Inicio de sesión y políticas de contraseñas cuando los usuarios cambian la contraseña.
El valor predeterminado de la contraseña es de 12 caracteres, pero puede establecer un requisito de longitud entre 8 y 32 caracteres. También puede definir de forma individual si se requieren letras mayúsculas y minúsculas, números y caracteres especiales.
Los registros de autenticación capturan los eventos de cambio de contraseña. Esto solo se aplica a los cambios de contraseña de Blackboard, no a los cambios de contraseña en un proveedor de identidad. Existen tres tipos de eventos:
Un usuario cambió su propia contraseña.
Un administrador u otro usuario con privilegios cambió la contraseña de otro usuario. Los detalles del evento mostrarán quién cambió la contraseña.
Un usuario restablece su contraseña mediante la función de contraseña olvidada en Blackboard.
Un usuario cambia su contraseña en la experiencia Original:
Un usuario cambia su contraseña cuando la navegación básica se encuentra activa:
Revise la configuración cuando los usuarios vean la opción de restablecimiento de contraseña en Blackboard. La configuración aparece en el Panel del administrador en una nueva página Configuración de contraseña.
Solo un administrador de sistemas con todos los privilegios puede acceder a ella. La configuración predeterminada aplica un mínimo de un carácter numérico y uno especial, y la longitud mínima se establece en 12.
Configure los roles del sistema de manera que los usuarios no vean la opción de restablecimiento de contraseña para Blackboard cuando usan un proveedor de identidad (por ejemplo, inicio de sesión único).
Importante
Las directivas de contraseñas reforzadas se aplican cuando un usuario cambia su propia contraseña. Esto incluye el uso de la herramienta de restablecimiento de contraseña.
Las directivas de contraseñas no se aplican cuando un usuario de Soporte técnico cambia la contraseña de otro usuario.
Las directivas de contraseñas no se aplican cuando se usa SIS Framework, bloques o API de REST para cambiar contraseñas
Configuración de las políticas de longitud y complejidad de contraseñas:
Los registros de autenticación incluyen eventos de cambio de contraseña:
Duración, reutilización y vencimiento de contraseñas
Al usar un proveedor de identidades (por ejemplo, Azure Active Directory) para administrar y autenticar usuarios, los usuarios pueden establecer sus propias contraseñas. Para cumplir con los requisitos de seguridad de las contraseñas, el sistema puede solicitar a los usuarios lo siguiente:
Cambie sus contraseñas después de que haya pasado un cierto número de días desde su último cambio de contraseña. Después de la expiración, los usuarios pueden iniciar sesión con su contraseña anterior, pero el sistema les pide que la cambien inmediatamente antes de permitirles continuar.
Espere un lapso de tiempo entre cambios de contraseña. Cuando un usuario intenta cambiar una contraseña antes de que haya transcurrido la duración mínima, el sistema le informa que no puede cambiarla. Recomendamos indicarles que se comuniquen con su servicio de asistencia.
Impedir que los usuarios reutilicen contraseñas anteriores.
Si es necesario, puede pedir a los usuarios que cambien sus contraseñas para cumplir con las actualizaciones de las políticas de contraseñas en lugar de esperar a que se venzan automáticamente:
La opción "Caducar contraseña" aparece en el Panel del administrador en la página Usuarios.
Seleccione uno o varios usuarios a la vez. Los administradores de sistemas con todos los privilegios pueden usar esta función nueva de forma predeterminada. Puede conceder este privilegio a otros roles si lo desea: Panel de administrador (usuarios) > usuarios > editar > caducar contraseña.
Si eliges caducar la contraseña de un usuario y la Política de antigüedad mínima de la contraseña está activada, tus usuarios no tendrán que esperar para cambiar su contraseña.
Importante
Por motivos de seguridad, las contraseñas ya no se almacenan en los paquetes de archivo.
Descargar un paquete de archivo:
Reglas de longitud y complejidad de contraseñas
Si cambia las contraseñas de otros usuarios, asegúrese de cumplir las normas de longitud y complejidad de las contraseñas.
Puede determinar las políticas de duración y reutilización. Esta configuración aparece en el Panel del administrador en la página Configuración de contraseña. Solo un administrador de sistemas con todos los privilegios puede acceder a ella. La configuración predeterminada aplica las siguientes políticas:
Política de antigüedad de la contraseña: Esta opción está desactivada de forma predeterminada. Las siguientes reglas se pueden activar de forma independiente:
El valor predeterminado de la duración mínima es de 24 horas. Defina un valor entre 1 y 720 horas.
Los nuevos usuarios no tendrán que esperar a este período para cambiar sus contraseñas la primera vez.
El valor predeterminado de la duración máxima es 90 días. Defina un valor entre 29 y 360 días.
Política de historial de contraseñas: Esta opción está desactivada de forma predeterminada. Si se activa, puede especificar la cantidad de contraseñas que se usaron recientemente para que el sistema las verifique.
El valor predeterminado es 10. Defina un valor entre 1 y 24.
Restricciones:
uso de información personal.
Las cuentas de usuario creadas en Blackboard pueden permitir a los usuarios establecer sus propias contraseñas. Para reforzar la seguridad, el uso de la información personal en las contraseñas se encuentra limitado.
La información personal incluye campos como: nombre, segundo nombre, apellido, nombre de usuario e identificación de estudiante. Los usuarios no pueden incluir esta información cuando crean una contraseña. Recibirán una notificación del sistema si intentan utilizar la información de su perfil en la contraseña.
Importante
También debe evitar el uso de información personal cuando configura una contraseña para otro usuario.
Uso de contraseñas expuestas en una filtración de datos
Su institución también puede restringir las contraseñas que hayan quedado expuestas en una filtración de datos. Esta es una medida de seguridad importante, ya que las contraseñas como "123456", "qwerty" o "contraseña123" a menudo son víctimas de los piratas informáticos.
Cuando uno de sus usuarios intenta cambiar su contraseña dentro del LMS, Blackboard la compara con una base de datos global de contraseñas violadas. Si la contraseña elegida figura en la base de datos, el sistema informa al usuario y se le solicita que seleccione una diferente. De este modo, se garantizan contraseñas seguras para todos los usuarios, y se minimiza el acceso no autorizado a sus cuentas.
Para activar la directiva de protección de contraseñas expuestas, seleccione Habilitado para Prohibir el uso de contraseñas expuestas.
Importante
Para la mayoría de las instituciones, esta función está desactivada de forma predeterminada. Debe activarla de forma manual para poder utilizarla.
Importante
Para los clientes del gobierno de los Estados Unidos en los límites de FedRAMP, la función está activada de forma predeterminada. Si el límite de cumplimiento cambia, debe confirmar la configuración.