Ricerca nel sito web

Migliori pratiche per la gestione e la sicurezza delle password


Non c’è dubbio che la gestione e la protezione delle password rappresenti una sfida per le organizzazioni. Le password sono difficili da ricordare, facilmente hackerabili e le strategie di gestione delle password sono ulteriormente complicate dalla crescita degli account non umani. Le policy tradizionali sulle password, come i requisiti di lunghezza minima, le regole di complessità e i blocchi degli account, non sono così efficaci come lo erano in passato.

Tecniche di cracking delle password come attacchi con dizionario e varie tecniche di ingegneria sociale vengono utilizzate per compromettere gli account utente e anche comportamenti comuni come il riutilizzo delle password, l'utilizzo di password semplici e la condivisione di password sul posto di lavoro rappresentano notevoli minacce alla sicurezza. Tuttavia, per quanto problematici possano essere, è improbabile che ne assisteremo già alla fine. Nel frattempo dovremo ancora stabilire una solida strategia di gestione e sicurezza delle password.

Best practice per la gestione delle password e la sicurezza

Per salvaguardare le tue password, dovrai implementare soluzioni anti-malware e di gestione delle vulnerabilità aggiornate, rafforzando i tuoi sistemi contro lo sfruttamento. Inoltre, le moderne politiche di sicurezza delle password dovrebbero concentrarsi su gestori di password, autenticazione a più fattori (MFA), formazione sulla consapevolezza della sicurezza e controlli periodici delle password per migliorare la sicurezza. Di seguito sono riportate alcune delle migliori pratiche più importanti per la gestione e la sicurezza delle password:

  1. Crea password lunghe, forti e complesse
  2. Utilizza la crittografia per proteggere le password inattive e in transito
  3. Utilizza metodi di autenticazione avanzati
  4. Esercitati nella sicurezza dei telefoni cellulari
  5. Evita di modificare le password troppo frequentemente
  6. Utilizza gestori di password
  7. Monitora tutte le attività relative alle password

1. Crea password lunghe, forti e complesse

Per prevenire gli attacchi informatici dovrai creare password lunghe e robuste per garantire che siano difficili da decifrare per gli hacker. Le password complesse dovrebbero contenere più di otto caratteri e includere un mix di lettere maiuscole e minuscole, numeri e simboli. Il National Institute of Standards and Technology (NIST) consiglia passphrase facili da ricordare e sicure contenenti fino a 64 caratteri, spazi inclusi. Per proteggere la tua attività dagli attacchi dei dizionari, evita di utilizzare parole o frasi di uso frequente presenti nei dizionari. Questi programmi possono scansionare rapidamente migliaia di voci di dizionario in varie lingue, quindi la selezione di termini non comuni o univoci migliora la tua sicurezza. Potresti prendere in considerazione l'utilizzo di uno strumento di valutazione della forza della password per aiutarti a creare password meno soggette a compromissioni.

2. Utilizzare la crittografia per proteggere le password inattive e in transito

La crittografia svolge un ruolo fondamentale nella protezione delle password e nella salvaguardia degli account utente da accessi non autorizzati. Gli algoritmi di crittografia trasformano le password in un testo cifrato complesso utilizzando operazioni e chiavi matematiche, rendendone impossibile la decifrazione da parte degli aggressori. Ciò migliora la sicurezza complessiva degli account online e aiuta a prevenire il furto di account, il furto di identità e altre attività dannose. Nota: dovresti sempre cercare di evitare di memorizzare le password, se possibile.

3. Utilizzare metodi di autenticazione avanzati

Per migliorare la sicurezza e prevenire l’accesso non autorizzato, l’autenticazione a più fattori è diventata uno standard ampiamente adottato per salvaguardare l’accesso alle risorse organizzative. Questo metodo va oltre le credenziali tradizionali come nomi utente e password richiedendo agli utenti di verificare la propria identità attraverso un fattore aggiuntivo. Questo ulteriore fattore può assumere la forma di un codice monouso inviato al dispositivo mobile dell’utente o di un token USB personalizzato. Il principio di base è che anche se un utente malintenzionato riesce a ottenere la password dell’utente, semplicemente craccarla o indovinarla non è sufficiente per accedere al sistema.

Nell’ambito dell’autenticazione a più fattori, i dipendenti possono utilizzare metodi di verifica biometrica come la scansione delle impronte digitali Touch ID per iPhone o il riconoscimento facciale Windows Hello per PC Windows 11. Questo approccio consente al sistema di identificare accuratamente i dipendenti riconoscendo le loro caratteristiche fisiche uniche, come il viso, le impronte digitali, la voce, l'iride o persino il battito cardiaco.

4. Pratica la sicurezza dei telefoni cellulari

Con l’uso diffuso dei telefoni cellulari per lavoro, acquisti e vari altri scopi, è essenziale affrontare i problemi di sicurezza che ne derivano. Questi dispositivi possono diventare facili bersagli per gli hacker, compromettendo potenzialmente informazioni sensibili. Per proteggere il tuo telefono cellulare e altri dispositivi da accessi non autorizzati, utilizza password complesse, identificazione delle impronte digitali o tecnologia di riconoscimento facciale. La tua azienda potrebbe anche prendere in considerazione l'utilizzo del software Mobile Device Management (MDM), che può controllare da remoto e persino cancellare un dispositivo aziendale nel caso in cui venga smarrito o rubato.

5. Evitare di modificare le password troppo frequentemente

Questo è un argomento controverso, poiché alcuni raccomandano frequenti modifiche della password mentre altri sostengono che ciò potrebbe rendere il sistema meno sicuro. Alcune organizzazioni modificano le password a intervalli regolari, ad esempio ogni 90 o 180 giorni. Tuttavia, le recenti linee guida NIST sconsigliano di implementare una politica di modifica obbligatoria della password per le password personali (escluse le credenziali privilegiate). Questo cambiamento deriva dalle osservazioni secondo cui gli utenti spesso ricorrono alla ripetizione delle password utilizzate in precedenza. Nonostante i tentativi di impedire il riutilizzo delle password, gli utenti trovano modi ingegnosi per aggirare queste misure. Non solo, modifiche frequenti della password possono aumentare la probabilità che gli utenti annotino la propria password, compromettendone la sicurezza. In definitiva, il NIST sostiene la richiesta di modifica della password solo in caso di potenziali minacce. Per evitare che ex dipendenti scontenti compromettano la tua attività, stabilisci una politica di modifica tempestiva delle password alla loro partenza. Questo semplice passaggio può aiutarti a salvaguardare i tuoi account e sistemi da accessi non autorizzati e potenziali sabotaggi da parte di ex dipendenti in cerca di vendetta o che causano interruzioni.

6. Utilizza gestori di password

Utilizzando un gestore di password, devi ricordare solo una singola password, rendendo molto più semplice la gestione dei tuoi account online. Un gestore di password archivia e genera in modo sicuro password complesse e univoche per ciascuno dei tuoi account e inserisce automaticamente la password al momento dell'accesso. Esistono due tipi principali di gestori di password: personale e privilegiato. I gestori di password personali vengono utilizzati dagli individui per gestire le proprie password, mentre i gestori di password privilegiate vengono utilizzati dalle aziende per gestire e proteggere credenziali privilegiate sensibili, come quelle per account utente, applicazioni e sistemi.

7. Monitorare tutte le attività relative alle password

Utilizza una piattaforma di sicurezza dei dati che offra funzionalità di monitoraggio e avviso in tempo reale, che miglioreranno la gestione e la sicurezza delle password. Tale piattaforma monitorerà e registrerà tutte le azioni relative alla password, consentendoti di individuare immediatamente anomalie e comportamenti sospetti. Alcune delle piattaforme più sofisticate sono in grado di rilevare attacchi di forza bruta monitorando i tentativi di accesso non riusciti eccessivi e attivando avvisi per modelli di accesso sospetti. Ti consentiranno inoltre di eseguire automaticamente script personalizzati in caso di potenziale violazione. Infine, molte soluzioni di controllo consentono di automatizzare la rotazione delle password per una maggiore sicurezza.

Se desideri vedere come la piattaforma di sicurezza dei dati Lepide può aiutarti nella gestione e nella sicurezza delle password, pianifica una demo con uno dei nostri ingegneri.