:format(avif))
:format(avif))
Una percentuale a dir poco sconvolgente delle password aziendali, pari al 20%, corrisponde al nome dell'impresa stessa o a una sua leggera variante. Volendo fare un paragone con la sicurezza fisica, è come non chiudere a chiave la porta dell'ufficio di notte.
Contenuti:
- Cosa sono i criteri per le password?
- Perché hai bisogno di adottare specifici criteri per le password?
- Conformità alla sicurezza informatica e criteri per le password: le buone prassi da seguire
- I Criteri per le password del NIST
- Consigli sui criteri per le password
- Perché i criteri per le password (da soli) sono destinati a fallire
- I Criteri per le password di Active Directory
- Come impostare criteri funzionali ed efficaci per le password
Magari non ne eri al corrente, ma i criminali informatici lo sanno bene. Le password deboli e usate più volte rappresentano una vera e propria porta d'accesso ai dati sensibili delle imprese; a seconda del tipo di attacco informatico, fino all'80% delle violazioni di dati che vanno a buon fine sono imputabili a credenziali deboli o rubate.
Potresti quindi valutare la possibilità di implementare specifici criteri riguardanti le password, per fare in modo che il personale utilizzi credenziali più forti e sicure. Ma come creare una serie di regole che funzioni davvero, e quali aspetti è necessario considerare? Oggi parleremo delle buone prassi da adottare nella formulazione dei criteri per le password.
Cosa sono i criteri per le password?
Per prima cosa, scopriamo cosa sono e come funzionano. I criteri per le password sono un insieme di regole che informano un team su come prendere decisioni riguardanti l'uso e la gestione delle credenziali. I requisiti dei criteri per le password possono essere leggermente diversi in base alle esigenze di ogni azienda, ma sono accomunati dall'obiettivo di migliorare la cybersicurezza prevenendo gli attacchi informatici che sfruttano password deboli e riutilizzate.
Predisporre questi criteri significa, in genere, stabilire regole precise che rendano le password difficili da violare. Possono anche riguardare regole e linee guida interne sull'impostazione delle password; in questo modo, le imprese possono avere il controllo amministrativo sui criteri per le credenziali che un sistema sviluppato internamente è in grado di accettare.
I criteri delle politiche aziendali sulle password prevedono una lunghezza minima consigliata (di solito, 12 o 14 caratteri) e l'uso di combinazioni completamente casuali di lettere, numeri e caratteri speciali, oltre a stabilire la frequenza con la quale è necessario modificarle.
Le imprese possono usare sistemi di gestione delle password centralizzati per accertare che tutti i dipendenti rispettino i requisiti e, in caso contrario, obbligarli a modificare le proprie credenziali. L'applicazione di questi criteri rende automaticamente più semplice il rispetto delle linee guida da parte di tutti i dipendenti, quando ad esempio creano password per account esterni o software usati per lavoro, come Outlook, Google Workspace o Zoom.
Perché hai bisogno di adottare specifici criteri per le password?
Per capire l'importanza di questi criteri, proviamo a pensare a cosa succede in loro assenza: in altre parole, come vengono di solito gestite le password nei contesti aziendali.
Le password deboli sono (purtroppo) la norma
In assenza di regole precise sulla sicurezza delle credenziali, i dipendenti cadono facilmente nell'abitudine di usare password deboli che possono essere violate senza particolari sforzi. Ad esempio, non serve essere dei guru della sicurezza informatica per sapere che "password" è una pessima scelta, eppure nel 2024 si è classificata nella top 5 dell'elenco delle 200 password più usate nel mondo. Anche se ai criminali informatici basta appena una frazione di secondo per violarla, continua a essere usata per milioni di account in tutto il pianeta.
Se pensi che, nei contesti aziendali, gli utenti di internet adottino comportamenti più sicuri nella scelta delle credenziali, uno studio riguardante le aziende Fortune 500 che hanno subito violazioni informatiche ti farà ricredere.
Le password più diffuse sono risultate anche le più prevedibili: la classica "123456", insieme ad "abc123" e "sunshine", sono tutte nelle prime 10 posizioni della classifica di ogni settore. Come accennato in precedenza, anche il nome dell'azienda stessa è una scelta comune. Nel complesso, la percentuale di password univoche era pari solo al 31% per tutti i settori, con un livello di sicurezza piuttosto discutibile.
Nel complesso, la percentuale di password univoche era pari solo al 31% per tutti i settori, con un livello di sicurezza piuttosto discutibile.
Un altro studio riguardante le credenziali usate dai dirigenti di alto livello e dai responsabili e proprietari di aziende ha evidenziato che anche i quadri superiori non dimostrano maggiore competenza nell'utilizzare password forti e sicure. Inutile dire che le password deboli, che dovrebbero essere evitate a tutti i costi, rappresentano la norma in molti contesti lavorativi e riguardano l'intera scala gerarchica aziendale.
Le password deboli rappresentano un'enorme vulnerabilità informatica
Come detto poc'anzi, le password deboli possono essere violate in meno di un secondo. Non sorprende quindi che il Data Breach Investigation Report di Verizon abbia rilevato che le credenziali sono coinvolte in circa il 50% di tutte le violazioni: più del doppio rispetto agli attacchi di phishing.
A peggiorare ulteriormente la situazione è il fatto che, spesso, l'uso di password deboli è combinato con una gestione mediocre della sicurezza delle credenziali. Le cattive prassi più comuni sono la conservazione delle credenziali in luoghi non sicuri e il riutilizzo delle stesse password per diversi account.
Le password scritte su foglietti adesivi, salvate sul desktop o condivise all'interno di file Excel sono esempi particolarmente emblematici di come non andrebbero conservate le credenziali. Una password scritta su un foglio e lasciata in bella vista sulla propria scrivania può essere facilmente sottratta da un ficcanaso; analogamente, per gli hacker che riescono ad accedere alla rete informatica di un'azienda sarà un gioco da ragazzi mettere le mani su elenchi non crittografati di password conservati in documenti offline.
Come puoi facilmente intuire, pessime abitudini di gestione delle credenziali possono rendere inutili anche le password più forti e complesse: ecco perché una buona politica sulle password deve affrontare entrambe le problematiche.
Conformità alla sicurezza informatica e criteri per le password: le buone prassi da seguire
Benché le password siano spesso la prima linea di difesa nell'infrastruttura di sicurezza informatica delle imprese, i dati dimostrano che i dipendenti tendono a prendere sottogamba la questione. Un modo efficace per garantire che la sicurezza aziendale non sia messa a repentaglio da violazioni di credenziali consiste nell'introdurre e implementare una serie di criteri per le password nell'infrastruttura di sicurezza informatica.
La creazione di queste regole aiuta inoltre le imprese a rispettare le normative di conformità alla sicurezza informatica. Esistono diverse guide riguardanti i criteri per le password, che aiutano le aziende a soddisfare gli standard richiesti e a mantenere al sicuro i dati di dipendenti e clienti.
La Guida ai criteri per le password del CIS
Il Center for Internet Security (CIS) è un'organizzazione statunitense senza scopo di lucro il cui obiettivo è aiutare le imprese a difendersi dalle minacce informatiche. Divulga raccomandazioni che possono aiutare le aziende a migliorare il proprio livello di sicurezza digitale.
La Guida ai criteri per le password del CIS offre due livelli di consigli: uno applicabile quando le password sono l'unico metodo di autenticazione, e l'altro quando le password sono solo uno dei diversi metodi di autenticazione utilizzati.
| Elementi | Autenticazione solo tramite password | Autenticazione a più fattori (MFA) |
|---|---|---|
| Almeno 14 caratteri | Almeno 8 caratteri | |
| È obbligatorio almeno 1 carattere non alfanumerico | Nessun requisito di complessità | |
| Frequenza di modifica: quando si verifica un evento rilevante, come l'avvicendamento del personale o una violazione di dati. In caso contrario, cambiare la password una volta all'anno. | Frequenza di modifica: quando si verifica un evento rilevante, come l'avvicendamento del personale o una violazione di dati. In caso contrario, cambiare la password una volta all'anno. |
La logica di base è che le password dovrebbero essere più forti quando rappresentano l'unica barriera che separa gli account dai criminali informatici.
La Regola di sicurezza dell'HIPAA
Gli standard di sicurezza HIPAA per la protezione delle Informazioni sanitarie protette elettroniche (la "Regola di sicurezza") stabiliscono un quadro di riferimento per la tutela delle informazioni sanitarie riservate in formato elettronico (ePHI).
La Regola di sicurezza indica che le organizzazioni che operano in ambito sanitario devono seguire i principi fondamentali di protezione delle informazioni; in altre parole, la "riservatezza, integrità e disponibilità di tutte le ePHI" devono essere sempre garantite per tutti i dati sanitari riservati che vengono creati, conservati o condivisi dall'organizzazione.
Rispettare questi principi significa proteggersi da possibili minacce o violazioni. Anche se la Regola di sicurezza non definisce protocolli specifici riguardanti le password, molti dei suoi requisiti sottintendono l'adozione di adeguate politiche e modalità di gestione delle credenziali, nell'ambito di misure di tutela amministrative e tecniche.
In linea di principio, è possibile conformarsi alla Regola di sicurezza seguendo le migliori prassi consigliate per la cybersecurity e la sicurezza delle informazioni che, inevitabilmente, comportano l'adozione di robusti criteri riguardanti le password.
Le linee guida sulle password del PCI-DSS
Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza globale che si applica a tutti i soggetti che elaborano, conservano o trasmettono informazioni personali e dati di pagamento. Analogamente alla Regola di sicurezza dell'HIPAA e alle linee guida del CIS, rispecchia le migliori prassi in materia di cybersicurezza che riducono i rischi informatici e aiutano a proteggere i dati. Il PCI DSS si articola in 12 requisiti, ma ci concentreremo sui due che sono strettamente legati alle politiche sulle password.
Il requisito numero 2 dello standard stabilisce che le imprese debbano sostituire tutte le password di sistema predefinite con alternative nuove e più sicure. Non farlo equivale a, riportando testualmente le parole del documento, "non chiudere a chiave il tuo negozio quando rincasi alla sera".
Il requisito numero 8 è "identificare e autenticare l'accesso ai componenti del sistema". Viene altamente consigliato l'utilizzo di password forti e dell'autenticazione a più fattori come misure essenziali per proteggere i dati dei titolari di carte di pagamento.
Aumenta la tua sicurezza online
Identifica le violazioni prima che arrechino danni alla tua azienda
I Criteri per le password del NIST
Il National Institute of Standards and Technology (NIST) è un'agenzia federale degli Stati Uniti che è diventata un'autorità di riferimento per quanto riguarda le linee guida sulle password. I Criteri per le password del NIST forniscono diversi consigli per creare password robuste e gestirle in modo sicuro. Anziché offrire raccomandazioni standard, il NIST si concentra su criteri semplici e intuitivi che garantiscono al contempo un'elevata sicurezza.
Ad esempio, il NIST raccomanda di consentire l'utilizzo di password molto lunghe (fino a 64 caratteri) e che possono includere insiemi di caratteri diversi (inclusi spazi ed emoji); inoltre suggerisce di eliminare l'obbligo di cambiare periodicamente le password, a meno che non vi siano prove della loro compromissione.
In sostanza il NIST invita a creare frasi univoche e facili da ricordare, anziché combinazioni alfanumeriche complesse e difficilmente memorizzabili. Le sue linee guida sottolineano ulteriormente la necessità dell'autenticazione a più fattori come livello di sicurezza aggiuntivo, scoraggiando invece l'uso di suggerimenti per le password e di domande di autenticazione basate sulla conoscenza (ad esempio, il nome del tuo primo animale domestico), che possono essere facilmente violate.
L'approccio completo del NIST alla sicurezza delle password sottolinea il suo impegno a trovare un punto di equilibrio tra l'esperienza utente e un'efficace protezione dei dati: ecco perché i suoi standard sono ampiamente adottati in numerosi settori economici su scala globale.
ISO/IEC 27001
Lo standard 27001 dell'Organizzazione internazionale per la normazione/Commissione elettrotecnica internazionale (ISO/IEC 27001) è una certificazione volontaria sulla sicurezza delle informazioni, la cybersecurity e la tutela della privacy.
L'allegato A è tra i più noti dello standard ISO; contiene raccomandazioni volte a rafforzare la sicurezza dei dati. Più nello specifico, la sezione A.9 riguarda il controllo degli accessi e contiene linee guida per la gestione delle password.
Per tutelare la riservatezza dei dati sensibili, le linee guida ISO raccomandano l'uso di "password forti" e di un "sistema di gestione delle password" in aggiunta all'autenticazione multifattoriale.
Consigli sui criteri per le password
Tutti i principali standard di sicurezza informatica raccomandano l'utilizzo di password forti e di buone pratiche per la gestione e la conservazione delle credenziali. Ma cosa significa, esattamente?
Password forti
Predisporre una serie di criteri che preveda l'utilizzo di password robuste aiuta a rendere più complicata la vita dei criminali informatici. Le seguenti linee guida possono aiutarti a creare password complesse, lunghe e difficili da indovinare.
| DEVE includere | NON DEVE includere |
|---|---|
Almeno 8 caratteri; più sono e meglio è | Parole presenti nei dizionari |
Buon assortimento di caratteri alfanumerici | Le password più comuni |
Simboli | Informazioni personali o sull'azienda |
Lettere sia maiuscole che minuscole | Sequenze di due o più caratteri ripetuti (es. 112233) |
Combinazioni casuali di caratteri |
Ricorda sempre che questi criteri devono essere calibrati in base ai requisiti standard per le credenziali: in caso contrario, sarà impossibile rispettarli. Ad esempio, gli esperti di sicurezza informatica sostengono che, per rendere più forti le password, dovrebbe essere consentito l'inserimento di spazi; molto spesso, invece, l'uso degli spazi è vietato.
Suggerimento: usa un generatore di password per ottenere all'istante password estremamente forti e sicure senza mettere a dura prova la tua creatività.
Buone pratiche per la gestione delle password
Una gestione sicura delle credenziali ha anche l'obiettivo di renderle inaccessibili agli intrusi, impedire che vengano rubate e limitare i danni in caso di violazione.
| DEVONO includere | NON DEVONO includere |
|---|---|
Usare password univoche per ciascun account | Conservare le password in un formato di testo in chiaro |
Modificare periodicamente le password, oppure in seguito a violazioni o avvicendamenti del personale | Usare le stesse password per diversi account |
Conservazione sicura con crittografia end-to-end | Condividere le password tramite messaggistica istantanea o e-mail |
Continuare a usare eventuali password predefinite | |
Annotare le password su supporti accessibili ad altre persone |
Usa un rilevatore di violazioni di dati per sapere se le tue credenziali sono state compromesse. Se così fosse, modifica subito le password.
Perché i criteri per le password (da soli) sono destinati a fallire
Esiste un motivo preciso per il quale è così comune usare password deboli e gestire in modo superficiale le credenziali; e non si tratta della mancanza di consapevolezza. Diamo ormai per scontato che la stragrande maggioranza delle persone sappia che "password" e "123456" rappresentano una minaccia per la sicurezza, quando vengono usate come password.
La verità è che l'utente medio si trova in una situazione difficile: sai che devi usare password forti, soprattutto al lavoro, ma le stesse caratteristiche che rendono "buone" le password fanno in modo che siano anche impossibili da ricordare. Se non riesci a tenerle a mente, devi conservarle da qualche parte dove siano sempre a portata di mano; purtroppo, però, quel "posto comodo" spesso rappresenta una facile preda per i criminali informatici.
Ecco perché non è realistico pensare che, per garantire la sicurezza delle password aziendali, sia sufficiente stabilire una serie di criteri. Con ogni probabilità, il personale è già a conoscenza dei principi di sicurezza di base, ma non ha a disposizione gli strumenti per metterli in pratica; in molti casi, inoltre, potrebbe privilegiare la velocità a scapito della sicurezza.
I Criteri per le password di Active Directory
Active Directory (AD) è un prodotto di Microsoft che gestisce utenti e computer all'interno di una rete. I Criteri per le password di Active Directory sono un insieme di regole, definite dagli amministratori di sistema, per gestire la creazione e la manutenzione delle password in un'impresa.
Questi criteri, di solito, forniscono indicazioni sulla lunghezza minima delle password, sui requisiti di complessità (ad esempio, l'uso di caratteri maiuscoli, minuscoli, numerici o non alfanumerici) e sulle impostazioni della cronologia delle password, per impedire agli utenti di riutilizzare credenziali già usate in passato.
Nei criteri può anche essere definita la scadenza di una password, che obbliga gli utenti a crearne una nuova dopo un periodo di tempo prestabilito. È inoltre possibile stabilire dei criteri di restrizione dell'account, che bloccano il profilo di un utente dopo un determinato numero di tentativi di accesso falliti.
AD fornisce due tipologie di criteri per le password: i criteri di dominio predefiniti e i criteri granulari. Questi ultimi permettono di definire regole diverse per specifici gruppi di utenti all'interno dello stesso dominio, offrendo flessibilità per i diversi requisiti di sicurezza.
Come impostare criteri funzionali ed efficaci per le password
Grazie a NordPass Business, puoi impostare nella tua azienda criteri per le password a livello amministrativo e implementabili automaticamente, che offrono al personale tutto il supporto necessario per gestire in modo efficiente e sicuro le credenziali senza tuttavia rallentare il flusso di lavoro.
Utilizzando il Generatore di password integrato, gli utenti possono creare password forti e salvarle all'istante. Quando necessario, le password vengono mostrate automaticamente nei campi dei moduli di accesso grazie all'autocompilazione basata sull'apprendimento automatico.
Ciò significa che il personale non dovrà più compiere lo sforzo mentale di creare e ricordare password complesse. Inoltre, per quanto riguarda la conservazione, le credenziali dei dipendenti saranno custodite in una cassaforte crittografata end-to-end ad altissima sicurezza. Con NordPass tutte le credenziali sono facilmente accessibili da parte del personale, ma al tempo stesso risultano completamente fuori dalla portata degli intrusi.
I dipendenti possono condividere con altre persone, in modo comodo e sicuro, le password e altri dati sensibili conservati nelle loro casseforti, utilizzando le funzionalità Gruppi e Cartelle condivise. Hanno inoltre la possibilità di impostare una scadenza per l'accesso alle credenziali condivise, nonché di scegliere il livello di autorizzazione per consentire ai destinatari di compilare automaticamente, visualizzare oppure modificare le password.
Allo stesso tempo, puoi monitorare la situazione delle credenziali usate nella tua azienda grazie allo strumento Salute password, che offre una panoramica completa e dettagliata di tutte le password vulnerabili (deboli o usate più volte) che possono compromettere la sicurezza informatica.
Non dovrai più scegliere tra sicurezza e praticità: ora puoi adottare facilmente criteri per le password funzionali ed efficaci con NordPass Business.