La sicurezza delle password è una componente fondamentale della sicurezza informatica per le organizzazioni. Questa guida fornisce consigli essenziali per la creazione e la gestione di password complesse, compreso l'uso di gestori di password e l'autenticazione a più fattori.
Scopri le vulnerabilità comuni delle password e le migliori pratiche per educare i dipendenti alla sicurezza delle password. Comprendere la sicurezza delle password è fondamentale per proteggere le informazioni sensibili e prevenire accessi non autorizzati.
La password di un utente è la chiave per aprire la porta del suo account. A seconda del tipo di autorizzazioni di cui dispone l'account utente una volta all'interno di un sistema, quella chiave potrebbe essere davvero molto potente. Se ho la password del tuo conto bancario online, potrei avere accesso al tuo account e a tutti i dati in esso contenuti. Questo sarebbe un problema per te. Ma se riesco a ottenere la password dell'amministratore di sistema della banca online a livello di server, posso mettere le mani sulle tue informazioni e su quelle di tutti gli altri utenti. È così che avviene un numero sorprendente di violazioni dei dati.
Ciò che rende così importante una buona sicurezza delle password è questo: non è necessario essere particolarmente esperti di tecnologia per sfruttare la password di qualcuno una volta che la si possiede. Altri tipi di violazioni della sicurezza, che si tratti di backdoor, installazione remota di malware o iniezione di codice dannoso sui server web, richiedono una discreta competenza. Ma una password? È il modo più semplice per accedere a dati che non ti appartengono. Ecco perché esiste un mercato delle password sul dark web, lasciando la parte difficile (l'intrusione) a chi sa come fare e il vero e proprio caos a chi ha solo cattive intenzioni. Credential stuffing, password spraying e altri tipi di attacchi basati sulle password potrebbero spesso essere fermati semplicemente utilizzando una buona sicurezza delle password.
Raccomandazioni sulla sicurezza delle password del NIST
Il National Institute of Science and Technology (NIST) ha studiato la questione per aumentare la sicurezza a livello federale. Ha pubblicato una bozza delle modifiche proposte alle politiche di sicurezza delle password nazionali per proteggere meglio il sistema del governo federale’s system. Una volta entrate in vigore, queste politiche riguardano solo gli utenti che lavorano presso qualsiasi ente federale. Tuttavia, dovrebbero essere prese sul serio da chiunque sia incaricato di proteggere la propria infrastruttura IT (o account personali).
Alcune delle raccomandazioni contraddicono la saggezza convenzionale di lunga data sulla sicurezza delle password:
1. Rendete più facile per i vostri utenti creare password che possano ricordare
Non imporre restrizioni sul formato della password. Quando si impongono regole come l'uso di almeno una lettera maiuscola, un numero o caratteri speciali, o si segnala che la password è troppo lunga, si finisce solo per frustrare gli utenti, che cercheranno soluzioni più semplici. Se John Smith decide di impostare la password "johnsmith", ciò non è accettabile. Ma richiedendo un formato specifico, lo incoraggiate a lavorare entro tali restrizioni per creare qualcosa come "J0hnsm1th!", che in realtà non è affatto migliore. Chiunque sia esperto nella decrittografia/decodifica delle password può capire rapidamente questa variazione.
Invece, date a John più libertà nella creazione della sua password. Incoraggiate l'uso di una frase più lunga (ora il massimo consigliato è 64 caratteri, non 16) e assicuratevi che il sistema sia in grado di gestire qualsiasi carattere gli venga fornito, non solo il testo ASCII, ma anche qualsiasi carattere Unicode, comprese le emoji. Questo funziona al meglio quando si dispone di un dizionario di password errate note che il sistema può controllare. Quindi, quando il primo tentativo di John di creare una password, "johnsmith", viene rifiutato, può incanalare la sua frustrazione in qualcosa di molto più sicuro, come questi 49 caratteri: "Il nostro amministratore di sistema è una seccatura fastidiosa nel ????."
Certo, è inglese piuttosto semplice, ma è più casuale che sostituire semplicemente le lettere con numeri simili.
Inoltre, smettete di far scadere le password e di obbligare gli utenti a cambiarle. Ogni volta che lo fate, è più probabile che le password diventino più facili da decifrare. Inoltre, indipendentemente dal tempo di scadenza (30 giorni, 6 mesi, 1 anno), se siete riusciti a non far rubare la password per tutto quel tempo, significa che state facendo qualcosa di giusto.
Nessuno cambia le serrature di casa ogni anno per una maggiore protezione. Se nessuno è riuscito a entrare in casa, significa che sei ancora l'unico ad avere la chiave. Le cambi solo quando sai che qualcuno che non dovrebbe avere accesso è entrato in possesso della tua chiave. Lo stesso vale per le password.
2. Smetti di usare i suggerimenti per le password
È da così tanto tempo che facciamo cose del genere che sembra controintuitivo smettere di farlo. Ma, se ci pensate bene, impostare suggerimenti e meccanismi per ottenere o reimpostare una password è ciò che non ha senso. Lo scopo di un suggerimento è quello di rendere più facile arrivare a una risposta.
Immagina di entrare in una banca dove sai che Bill Gates ha un conto e di provare a prelevare 1 milione di dollari. Il cassiere ti chiede un documento d'identità, che non hai perché non sei Bill Gates. Ma invece di mandarti via, ti chiede: "Beh, qual è il nome della città in cui sei nato?" Si tratta di un'informazione che è molto più facile da ottenere e sembra un metodo terribile per proteggere i propri beni.
Le password complesse sono il primo passo per proteggere i beni digitali (e in molti casi, tali beni digitali rappresentano l'accesso a denaro reale). Se qualcuno non conosce una password, è meglio presumere che ci sia un motivo piuttosto che dargli una mano.
3. Eliminare l'autenticazione a due fattori tramite SMS
L'autenticazione a due fattori, o anche a più fattori, è sicuramente indispensabile. Ma la biometria, come l'impronta digitale o la scansione della retina, è un modo molto più efficace per proteggere il tuo account, e non è più quella tecnologia futuristica da film di fantascienza che era un tempo. Il futuro è già qui.
Farlo tramite SMS è un modo piuttosto inefficace di procedere. Per quanto riguarda gli ostacoli, inviare codici di autorizzazione a un cellulare tramite SMS è come chiedere a un cavallo di saltare un ostacolo alto quindici centimetri. Come questo post dimostra che chi è abbastanza intelligente da impossessarsi della tua password è anche abbastanza furbo da trovare un modo per aggirare i codici di autenticazione basati su testo.
E, naturalmente, ora che tutti hanno capito l'inefficacia di questo metodo, i blogger che si occupano di sicurezza stanno riflettendo e scrivendo sul &diversi modi questo tipo di protezione può essere violato.
4. Gli amministratori devono essere più accorti riguardo alle modalità di archiviazione delle password
Nel 2013, il blog Naked Security ha descritto in dettaglio come una delle più grandi aziende di software al mondo, Adobe, abbia deluso 150 milioni dei suoi utenti con pratiche terribili in atto per proteggere le password.
Oltre a mettere in luce l'inutilità dei suggerimenti per la sicurezza delle password, è emerso chiaramente che Adobe utilizzava una crittografia piuttosto elementare, senza aggiungere altre protezioni. Il risultato era una sorta di semplice processo di decodifica non molto più sofisticato di quello che i bambini ottenevano con i kit da spia giocattolo.
Nel nostro mondo protetto da password, la sicurezza risulta essere una responsabilità di tutti. Le politiche devono essere ben ponderate, gli utenti devono rispettarle e gli amministratori devono agire nel modo giusto nei confronti degli utenti, senza dare per scontato che gli intrusi non possano entrare per rubare le password. Le nuove raccomandazioni e conclusioni del NIST sono sicuramente un buon punto di partenza per tutti.
Gestori di password: valutare i pro e i contro
I gestori di password sono un altro modo in cui gli individui e le organizzazioni cercano di ridurre il rischio legato all'uso delle password. Come altri strumenti di sicurezza, i gestori di password possono essere d'aiuto, ma non sono una soluzione completa che solleverà la vostra organizzazione dai rischi legati alle password. Un altro aspetto da considerare è che la maggior parte dei gestori di password ha mostrato vulnerabilità o ha subito violazioni nel corso degli anni.
Implementando un gestore di password nel vostro team, affidate la vostra sicurezza a questi strumenti. Tra gli incidenti di sicurezza più rilevanti figurano LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords e RoboForm. Tavis Ormandy di Google Project Zero ha rivelato alcune di queste vulnerabilità, comprese quelle presenti nei plugin dei browser.
I nostri consigli? I gestori di password possono aiutare a ridurre al minimo i costi IT legati al recupero delle password, ma introducono anche un altro potenziale attacco alla catena di approvvigionamento alle organizzazioni.
Ridurre il rischio di identità in tutta l'organizzazione
Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.
Richiedi una demoConclusione
Nel nostro mondo protetto da password, una politica di sicurezza efficace coinvolge i fornitori e le persone di ogni team. Le politiche devono essere ben ponderate, gli utenti devono rispettarle e gli amministratori devono agire nel modo giusto nei confronti degli utenti, senza dare per scontato che gli intrusi non possano entrare per rubare le password. Le raccomandazioni e le conclusioni del NIST sono un buon punto di partenza per tutti.
"Domande frequenti sulla sicurezza delle password
La sicurezza delle password si riferisce alle pratiche e agli strumenti che proteggono le password dagli attacchi. Puoi pensarla come una serratura digitale che protegge i tuoi account da accessi non autorizzati. La sicurezza delle password comporta la creazione di password complesse, la loro conservazione in modo sicuro e l'utilizzo di misure di sicurezza aggiuntive come l'autenticazione a più fattori.
Senza un'adeguata sicurezza delle password, gli hacker possono facilmente violare i tuoi account e rubare i tuoi dati o il tuo denaro.
La sicurezza delle password è importante perché le password deboli sono la causa principale delle violazioni dei dati. Se gli hacker riescono a violare la tua password, possono accedere alle tue informazioni personali, ai tuoi dati finanziari e ai tuoi account aziendali. Cattive pratiche relative alle password possono portare al furto di identità, a perdite finanziarie e a gravi danni alla reputazione.
Quando utilizzi una password sicura, crei una barriera che rende molto più difficile per i criminali informatici prenderti di mira.
È possibile verificare la sicurezza della propria password utilizzando vari strumenti di verifica della sicurezza delle password. Questi strumenti analizzano la lunghezza e la complessità della password e verificano se è stata compromessa in violazioni dei dati. Indicano quanto tempo impiegherebbero gli hacker per violare la password utilizzando attacchi di forza bruta. È consigliabile utilizzare questi strumenti per testare le password esistenti e migliorare quelle deboli.
Puoi rendere sicure le tue password utilizzando almeno 12-15 caratteri con una combinazione di maiuscole, minuscole, numeri e simboli. Crea password uniche per ogni account e non riutilizzarle mai su più siti. Utilizza un gestore di password per generare e memorizzare in modo sicuro password complesse.
Abilita l'autenticazione a più fattori ove possibile per aggiungere un ulteriore livello di protezione. Evita di utilizzare informazioni personali o parole comuni nelle tue password.
Puoi migliorare la sicurezza delle password passando a passphrase più lunghe invece che a password brevi e complesse. Utilizza i gestori di password per creare password uniche e casuali per tutti i tuoi account. Imposta l'autenticazione a più fattori su tutti gli account importanti, in particolare quelli bancari e di posta elettronica.
Controlla regolarmente se le tue password sono state compromesse in violazioni dei dati utilizzando strumenti come SentinelOne, Have I Been Pwned. Sostituisci immediatamente le password deboli o riutilizzate e aggiornale se sono state esposte.
Le migliori pratiche per la sicurezza delle password includono l'uso di password lunghe almeno 12 caratteri con tipi di caratteri vari. Non riutilizzare mai le password su account diversi e crearne di uniche per ogni servizio. Utilizza gestori di password affidabili per generare, archiviare e compilare automaticamente le tue password in modo sicuro.
Abilita l'autenticazione a più fattori su tutti gli account che la supportano. Evita di scrivere le password o di archiviarle in luoghi non sicuri come i fogli di calcolo. Controlla regolarmente le tue password e sostituisci quelle che sono state compromesse.
