search
Il media che reinventa l'impresa
Registrare un software

10 consigli per una politica delle password efficace

10 consigli per una politica delle password efficace

Da Jennifer Montérémal

Il 28 ottobre 2024

La vostra azienda ha già introdotto una politica delle password?

Si potrebbe pensare che la generazione di password forti (lunghezza, maiuscole e minuscole, numeri, ecc.) sia sufficiente a proteggere l'accesso ai vari account e ai dati dell'organizzazione. Ma se questo è un buon inizio, è consigliabile andare oltre. A maggior ragione in un ambiente di lavoro che diventa ogni giorno più complesso, con la proliferazione degli strumenti di lavoro.

Una buona politica delle password prevede una serie di regole da rispettare per garantire una sicurezza ottimale. Allo stesso tempo, deve tenere conto dell' esperienza dell'utente.

Volete vedere un esempio di politica delle password efficace? Leggete questo articolo e lasciatevi ispirare dai nostri 10 consigli.

Che cos'è una politica aziendale sulle password?

Politica delle password: definizione

Una password policy è una politica stabilita all'interno di un'azienda, di solito dal reparto IT, con l'obiettivo di definire il modo in cui :

  • come vengono create le password
  • ma anche di utilizzo,

la creazione e l'utilizzo delle password da parte dei dipendenti.

Il suo scopo è quello di aumentare la sicurezza dell'accesso ai vari strumenti e informazioni dell'azienda.

☝️ L'efficacia della politica di gestione delle password può essere garantita solo se è perfettamente chiara per i dipendenti e pienamente integrata nella strategia di sicurezza complessiva dell'azienda.

Esempio di politica di gestione delle password

Politica di gestione delle password ANSSI

Uno dei punti di riferimento per le politiche sulle password è .

Dal loro sito web è possibile scaricare un documento contenente tutte le loro raccomandazioni sulla sicurezza delle password.

Anche noi adotteremo alcuni dei consigli forniti dall'ANSSI, in particolare quelli relativi alla creazione di password forti.

Politica sulle password di Active Directory

Un altro esempio è la politica delle password di Active Directory.

Molte organizzazioni che operano in ambiente Microsoft utilizzano questa struttura per gestire in modo centralizzato l'identificazione e l'autenticazione della propria rete di computer.

In questo caso, le varie regole vengono distribuite :

  • o tramite GPO (Group Policy Objects): esiste un unico criterio di password applicabile a tutti i dipendenti che operano nello stesso dominio;
  • oppure tramite le FGPP (politiche granulari sulle password): queste consentono di sviluppare politiche diverse per i diversi utenti dello stesso dominio. Torneremo su questo punto più avanti.

Per questo articolo, manteniamo le cose semplici e concentriamoci sulle principali best practice da seguire, tratte dalle raccomandazioni di vari enti di riferimento (CNIL password policy, ANSSI, ecc.).

Suggerimento 1: creare una password complessa e sicura

Che cos'è una password complessa?

Esistono diverse regole per creare una password complessa. In questo modo sarà difficile da aggirare, anche per gli hacker che dispongono di strumenti automatizzati.

💡 Utilizzando una password forte, si è più protetti contro gli attacchi :

  • attacchi a forza bruta, che consistono nel provare diverse combinazioni fino a trovare quella giusta;
  • attacchi a dizionario (provare tutte le parole del dizionario).

Composizione di una password complessa:

Deve contenere :

  • almeno 8 caratteri. L'ANSSI raccomanda addirittura una lunghezza minima di 12 caratteri,
  • caratteri speciali, come i segni di punteggiatura,
  • numeri,
  • lettere maiuscole e minuscole.

Non utilizzate parole del dizionario o nomi propri, che sono troppo vulnerabili alle tecnologie utilizzate dagli hacker.

Infine, evitate date o elementi che facciano riferimento a informazioni personali (ad esempio, la vostra data di nascita).

Esempio di una password forte: Lm%zeR5aa9m $

Come si crea una password sicura?

Ci sono diversi modi per farlo. Ma tenete presente che la password perfetta deve essere forte... ma anche facile da ricordare! Altrimenti, l'utente potrebbe adottare un comportamento che ne compromette la sicurezza, ad esempio scrivendola su carta o su un file del computer.

Quindi, anche se potete usare un generatore di password complesse, optate per un metodo che vi permetta di ricordarle facilmente.

💡 Eccone uno consigliato dall'ANSSI:

  • Scegliete una frase, abbastanza lunga e contenente numeri, cifre e idealmente caratteri speciali (una citazione, un proverbio, l'estratto di una canzone, ecc.). Esempio:

Meglio essere l'uomo di un solo maestro che l'uomo di dieci libri
  • Mantenete le prime lettere, i numeri e i caratteri speciali. È inoltre possibile aggiungere le lettere maiuscole per una maggiore sicurezza:
Mvel'Hd'1smql'Hd10l

Scoprite altri metodi per generare password memorabili nel nostro articolo dedicato.

Suggerimento 2: rinnovare regolarmente le password

Anche una password forte può essere compromessa nel tempo. Per questo motivo vi consigliamo di cambiarle regolarmente. L'ANSSI raccomanda addirittura di rinnovarle ogni 90 giorni.

Si consiglia inoltre di cambiare la password al minimo sospetto di violazione della sicurezza. Questo potrebbe accadere se si viene a sapere che una delle società con cui si ha un account è stata violata.

☝️ Attenzione: se i periodi di validità sono troppo brevi, gli utenti sono tentati di utilizzare password più deboli o simili a quelle precedenti, per renderle più facili da ricordare.

Per questo motivo è necessario trovare un compromesso. Ad esempio, un criterio di password di Active Directory consente di applicare regole diverse a profili diversi. In questo quadro, l'amministratore può richiedere un rinnovo più frequente per gli utenti che sono più a contatto con i dati sensibili dell'azienda (e che sono consapevoli della posta in gioco), come i membri della direzione.

Suggerimento 3: mantenere riservate le password

Per proteggere le password, e quindi l'accesso ai sistemi informatici, è necessario garantire la massima riservatezza.

Ecco 8 regole da seguire:

  1. Non condividete mai la vostra password, nemmeno con un amministratore o un responsabile di linea.
  2. Non chiedete a terzi di generare una password per voi.
  3. Cambiate la password predefinita assegnata dagli amministratori dell'azienda al primo accesso.
  4. Non comunicare mai la propria password via e-mail, telefono o SMS.
  5. Non scrivete i vostri dati di accesso su carta.
  6. Non scriveteli nemmeno in un file di computer come Excel.
  7. Non riutilizzate mai una password già usata in passato.
  8. Quando utilizzate una connessione condivisa (ad esempio una connessione wifi in un hotel), optate per la navigazione privata o utilizzate una VPN. In questo modo si limitano le tracce lasciate.

Suggerimento 4: utilizzate password diverse per servizi diversi

Si consiglia di non utilizzare la stessa password per servizi diversi (ad esempio, utilizzare identificativi simili per l'e-mail di lavoro e per la casella di posta elettronica privata).

Se un tentativo di hacking riesce, l'hacker sarà in grado di testarla automaticamente per accedere a diversi siti e strumenti di lavoro. E gran parte del sistema informativo aziendale potrebbe essere compromesso!

Suggerimento 5: gestire con attenzione la connessione e la disconnessione ai diversi servizi

Ecco 3 precetti da seguire:

  1. Disconnettersi sempre quando si lascia un servizio.
  2. Configurare il software e i browser web in modo che non ricordino le password. Altrimenti, se qualcuno con intenzioni malevole prende il controllo della vostra sessione, avrà facile accesso a tutti i vostri identificatori.
  3. Programmate il computer in modo che passi in modalità standby dopo un certo periodo di inattività. In questo modo lo proteggerete da occhi maligni quando vi assentate per un po'.

Suggerimento 6: Attivate la doppia autenticazione, se possibile.

Alcuni servizi offrono la doppia autenticazione, o autenticazione forte.

Questa tecnologia prevede almeno due procedure diverse per l'accesso. Ad esempio :

  • un fattore di autenticazione memorizzato, come la tradizionale coppia login/password,
  • e un fattore di autenticazione fisico, come un telefono cellulare che invia un codice temporaneo via SMS.

Esistono anche fattori biometrici, relativi a una persona, come l'impronta digitale.

Il metodo di autenticazione forte è disponibile per molti servizi, come Google Workspace.

Suggerimento 7: sensibilizzare i dipendenti

Naturalmente, la politica aziendale in materia di password è efficace solo se si compie un reale sforzo di sensibilizzazione dei dipendenti.

È quindi consigliabile informare gli utenti su :

  • i rischi connessi
  • la loro portata (non tutti sanno che se la loro postazione di lavoro è vulnerabile, l'intero sistema informatico dell'azienda potrebbe essere compromesso),
  • le migliori pratiche da adottare.

Suggerimento 8: Effettuare controlli e verifiche

Per quanto riguarda l'amministratore, è necessario effettuare controlli e verifiche periodiche al fine di:

  • verificare la forza delle password utilizzate dai dipendenti
  • individuare eventuali altre falle nella sicurezza,
  • contattare un dipendente "negligente" in modo da poter adottare misure correttive.

Questi controlli possono essere effettuati tramite una società di hacking etico, la cui missione è identificare le falle di sicurezza nelle aziende.

Possono anche essere effettuati internamente. Come vedremo più avanti, alcuni pacchetti software generano un inventario delle password utilizzate dai dipendenti (sono deboli? duplicate? utilizzate per account diversi?). L'amministratore può quindi andare a trovare il dipendente per sensibilizzarlo e suggerirgli le aree da migliorare.

Suggerimento 9: Utilizzare gli strumenti di gestione dei criteri delle password

Esistono strumenti che supportano l' implementazione di una politica delle password all'interno dell'azienda (da non confondere con un gestore di password).

Una di queste soluzioni è Specops Password Policy, che ha la particolarità di supportare le organizzazioni che operano tramite Active Directory. Con questo software è possibile :

  • garantire che le politiche di password utilizzate in azienda siano conformi alle raccomandazioni di sicurezza (composizione, lunghezza della password, breve durata, ecc.);
  • bloccare le password deboli e compromesse con un elenco di oltre 2 miliardi di password;
  • effettuare audit per individuare le password non sicure e inviare messaggi agli utenti per incoraggiarli ad applicare le buone pratiche.

Suggerimento 10: utilizzare un gestore di password

Ricordare tutte le diverse password (che devono essere uniche) può essere noioso... se non impossibile. Il cervello umano non è calibrato per questo.

Di conseguenza, gli utenti sono spesso tentati di ricorrere a metodi pericolosi (come scrivere i propri identificativi su un file).

Per questo motivo consigliamo di utilizzare un gestore di password come LockPass. Questo software, 100% francese e certificato ANSSI, offre numerosi vantaggi:

  • basta ricordare una password principale per accedere a tutti i login. Gli utenti possono collegarsi direttamente ai loro account tramite un plug-in del browser, senza dover inserire ogni volta la password;
  • Allo stesso tempo, gli amministratori possono definire una politica di password a livello organizzativo o a livello più macro (per i team che gestiscono dati sensibili, ad esempio).Allo stesso tempo, gli amministratori possono definire una politica delle password a livello di organizzazione o a un livello più macro (per i team che gestiscono dati sensibili, ad esempio), in modo che ogni password aggiunta alla cassaforte soddisfi i criteri predefiniti. La mappatura in tempo reale di tutti gli identificatori dell'azienda consente di garantire la conformità alle regole stabilite.

Esistono quindi molte soluzioni disponibili sul mercato per aiutarvi a implementare una politica di password efficace all'interno della vostra azienda... senza compromettere l'esperienza dell'utente.

Articolo tradotto dal francese