Migliori pratiche per i criteri delle password 2025 per una forte sicurezza

Una solida politica sulle password è spesso la prima linea di difesa contro gli attacchi informatici, ma molte organizzazioni continuano a seguire linee guida obsolete che le espongono a rischi significativi.

Secondo il DBIR 2025 di Verizon, le credenziali compromesse rimangono una delle principali tattiche di hacking – utilizzate nel 22% delle violazioni e coinvolte nell’88% degli attacchi alle applicazioni web di base – evidenziando come le password deboli o rubate continuino a guidare un’ampia fetta di violazioni dei dati.

La sicurezza delle password non è mai stata così importante, soprattutto se un gran numero di lavoratori continua a lavorare da casa. La superficie delle minacce si è ampliata, quindi è fondamentale che le organizzazioni aggiornino la loro politica sulle password per educare il personale a creare password forti e fornire una solida difesa contro le minacce informatiche.

Le indicazioni precedenti sulla sicurezza delle password tendevano a concentrarsi sull’unicità, la complessità, la lunghezza minima della password e la modifica regolare della stessa; tuttavia, i consigli più recenti si sono allontanati da queste indicazioni, in quanto molte di queste pratiche potrebbero indurre gli utenti a creare password più deboli anziché più forti.

Migliori pratiche per la gestione delle password

Aumentare la lunghezza delle password e ridurre l’attenzione alla complessità delle stesse.

In passato, i consigli sulla sicurezza delle password si sono concentrati molto sulla creazione di password complesse, ma questo spesso porta a riutilizzare le password esistenti con piccole modifiche. Secondo il National Cyber Security Council: “I requisiti di complessità impongono un onere aggiuntivo agli utenti, molti dei quali utilizzeranno schemi prevedibili (come la sostituzione della lettera ‘o’ con uno zero o l’uso di caratteri speciali) per soddisfare i criteri di ‘complessità’ richiesti”.

Gli aggressori conoscono bene queste strategie e le utilizzano per ottimizzare i loro attacchi”. La lunghezza della password è spesso un fattore molto più importante, poiché una password più lunga è statisticamente più difficile da decifrare. Il NIST e Microsoft consigliano una lunghezza minima di 8 caratteri per le password generate dall’utente e, per rafforzare la sicurezza degli account più sensibili, il NIST raccomanda alle organizzazioni di impostare la lunghezza massima delle password a 64 caratteri. Questo consente di utilizzare le passphrase. Una passphrase è una password composta da una frase o da una combinazione di parole. Aiuta gli utenti a memorizzare password più lunghe e rende più difficile per gli hacker indovinarle con la forza bruta.

Controlla le password contro le liste nere

Il riutilizzo delle password è un problema comune e, secondo un’indagine di Google/Harris, il 52% delle persone riutilizza la stessa password su più account. Questo comportamento rischioso ha portato a un’enorme impennata degli attacchi di credential stuffing, in quanto gli hacker cercano di trarre profitto dai miliardi di credenziali compromesse che si possono acquistare sul dark web. Utilizzando queste credenziali rubate, gli hacker possono tentare di accedere ad altri account utente utilizzando la stessa password compromessa.

Per combattere questa minaccia, il NIST raccomanda alle organizzazioni di utilizzare un software che esamini le password in base a una lista nera che include parole del dizionario, stringhe ripetitive o sequenziali, password rubate in precedenti violazioni, frasi di accesso comunemente utilizzate o altre parole e schemi che gli hacker potrebbero indovinare. Questo processo di screening aiuta gli utenti a evitare di selezionare password che rappresentano un rischio per la sicurezza e segnala se una password precedentemente sicura viene esposta in futuro.

Eliminare la reimpostazione periodica della password

Molte organizzazioni richiedono ai propri dipendenti di cambiare le password a intervalli regolari, spesso ogni 30, 60 o 90 giorni. Tuttavia, studi recenti hanno dimostrato che questo approccio alla sicurezza delle password è spesso controproducente e può di fatto peggiorare la sicurezza. In genere, gli utenti hanno più password da ricordare, quindi quando sono costretti a fare un reset periodico, ricorreranno a modelli comportamentali prevedibili, come la scelta di una nuova password che è solo una piccola variazione di quella vecchia.

Possono aggiornarla cambiando un singolo carattere o aggiungendo un simbolo che assomiglia a una lettera (ad esempio ! al posto di I). Se un malintenzionato conosce già la password esistente dell’utente, non sarà difficile decifrare la versione aggiornata. Il NIST raccomanda di rimuovere questo requisito per rendere la sicurezza delle password più facile da usare e Microsoft consiglia: “Se una password non viene mai rubata, non c’è bisogno di farla scadere. E se hai le prove che una password è stata rubata, presumibilmente agirai immediatamente piuttosto che aspettare la scadenza per risolvere il problema”.

Consenti il copia e incolla della password

Il NIST ha rivisto la sua precedente guida e ora raccomanda l’uso del “copia e incolla” quando si digita una password. Ciò contribuisce a promuovere l’uso dei gestori di password, che indubbiamente aumentano la sicurezza consentendo agli utenti di generare password più lunghe e più difficili da decifrare.

Limita i tentativi di password

Utilizzando un attacco a forza bruta, gli hacker possono tentare di violare un account accedendo sistematicamente e provando ogni possibile combinazione di lettere, numeri e simboli fino a trovare la giusta combinazione di password. Uno dei modi migliori per difendersi da questo tipo di attacco è quello di limitare il numero di tentativi di password che un singolo indirizzo IP può effettuare in un certo lasso di tempo.

Non usare suggerimenti per le password

I suggerimenti per le password sono spesso utilizzati dalle organizzazioni per aiutare i propri utenti a ricordare password complesse. Può trattarsi di un semplice prompt oppure l’utente deve rispondere a una domanda personale come “In che città sei nato?” o “Qual è il nome della tua prima scuola?”. Le risposte a molte di queste domande possono essere facilmente trovate sui social media da un malintenzionato. Questo mina la sicurezza ed è per questo che il NIST ha consigliato alle organizzazioni di abbandonare questa pratica in quanto potrebbe aumentare le possibilità di violazione.

Usa l’autenticazione a più fattori

L‘autenticazione a più fattori (MFA) è uno dei modi più efficaci per fornire una protezione aggiuntiva a un account protetto da password. Secondo Microsoft, gli account hanno oltre il 99,9% di probabilità in meno di essere compromessi se l’MFA è abilitato.

Esistono tre tipi di autenticazione che possono essere utilizzati:

  • Qualcosa che conosci: Una password, un PIN, un codice postale o la risposta a una domanda (es: il nome da nubile della madre).
  • Qualcosa che possiedi: Un token, un telefono, una carta di credito, una SIM o una chiave di sicurezza fisica.
  • Qualcosa che sei: Dati biometrici come impronte digitali, voce o riconoscimento facciale.

Alcuni di questi metodi di verifica sono indubbiamente più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina la password, non sarà in grado di accedere all’account senza un altro fattore di autenticazione.

Formare il personale sulle migliori pratiche in materia di password

Ci sono molti pareri contrastanti su ciò che costituisce una password sicura, quindi è fondamentale che il tuo personale comprenda le migliori pratiche e sia pienamente informato su ciò che la tua politica sulle password richiede. I corsi di formazione sulla sicurezza devono istruire il personale su:

  • I rischi di riutilizzare le stesse password per gli account di casa e lavoro
  • Come creare password forti e sicure
  • Come attivare l’MFA
  • Come utilizzare un gestore automatico di password per memorizzarle in modo sicuro

Dai potere al tuo team con una forte sicurezza delle password

Dalla Piattaforma di Gestione del Rischio Umano che gestisce il rischio dei dipendenti, alla Formazione Automatica di Sensibilizzazione alla Sicurezza e alle Simulazioni Avanzate di Phishing che mantengono il personale all’erta, ogni soluzione è progettata per essere semplice ed efficace. Risk Intelligence e Analytics forniscono informazioni utili, mentre Compliance Management garantisce il rispetto dei requisiti normativi senza alcuno sforzo. Una Strong Password Policy integrata consente ai dipendenti di creare e mantenere credenziali sicure, riducendo le vulnerabilità associate a password deboli o riutilizzate.

Combinando questi strumenti con una formazione continua e abitudini digitali intelligenti, il tuo team può navigare con fiducia nel mondo digitale, riducendo il rischio di attacchi informatici e rafforzando la cultura generale della sicurezza.

Rafforza la sicurezza della tua organizzazione con la piattaforma all-in-one di MetaCompliance, progettata per aiutare il tuo team a implementare e mantenere solide politiche di sicurezza informatica, comprese le migliori pratiche per le password.

Domande frequenti sulla sicurezza e la politica delle password

Cosa rende forte una password?

Una password forte è lunga, unica e difficile da indovinare, preferibilmente una passphrase composta da più parole non correlate.