Una forte politica di password è spesso la prima linea di difesa contro gli attacchi informatici, eppure molte organizzazioni continuano a seguire linee guida obsolete che le espongono a rischi significativi.
Secondo il 2020 Data Breach Investigations Report di Verizon, le credenziali perse o rubate rimangono la tattica di hacking numero uno utilizzata da attori malintenzionati per perpetrare violazioni di dati, con password compromesse o deboli responsabili del 35% di tutte le violazioni.
La sicurezza delle password non è mai stata così importante, specialmente con un gran numero di lavoratori che continuano a lavorare da casa. La superficie delle minacce si è ampliata, quindi è fondamentale che le organizzazioni aggiornino la loro politica sulle password per educare il personale su come creare password forti e fornire una difesa solida contro le minacce informatiche.
Le indicazioni precedenti sulla sicurezza delle password tendevano a concentrarsi sull'unicità, la complessità, la lunghezza minima della password e la modifica regolare della stessa; tuttavia, i consigli più recenti si sono allontanati da queste indicazioni, poiché molte di queste pratiche relative alle password potrebbero in realtà indurre gli utenti a creare password più deboli anziché più forti.
Il National Institute of Standards and Technology (NIST) ha affrontato l'importanza delle politiche sulle password pubblicando la NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). La pubblicazione fornisce consigli aggiornati per le organizzazioni su come migliorare il processo di autenticazione e ridurre il rischio di una violazione della sicurezza.
Microsoft e il National Cyber Security Centre (NCSC) hanno anche aggiornato la loro guida sulle password per aiutare le organizzazioni a implementare politiche di password che possono difendere contro le minacce in evoluzione e sostenere i modi in cui le persone lavorano naturalmente.
Per garantire che la vostra politica sulle password sia efficace e soddisfi gli standard raccomandati da NIST, Microsoft e NCSC, abbiamo compilato tutte le ultime linee guida in consigli praticabili che la vostra organizzazione può utilizzare per migliorare la sicurezza delle password.
Migliori pratiche per la politica delle password
Aumentare la lunghezza delle password e ridurre l'attenzione alla complessità delle password
In passato, i consigli sulla sicurezza delle password si sono concentrati molto sulla creazione di password complesse, ma questo spesso porta a riutilizzare le password esistenti con piccole modifiche. Secondo il Consiglio nazionale per la sicurezza informatica: "I requisiti di complessità impongono un onere aggiuntivo agli utenti, molti dei quali utilizzeranno schemi prevedibili (come la sostituzione della lettera 'o' con uno zero o l'uso di caratteri speciali) per soddisfare i criteri di 'complessità' richiesti".
Gli aggressori conoscono bene queste strategie e utilizzano queste conoscenze per ottimizzare i loro attacchi". La lunghezza della password è spesso un fattore molto più importante, poiché una password più lunga è statisticamente più difficile da decifrare. Il NIST e Microsoft consigliano una lunghezza minima di 8 caratteri per le password generate dall'utente e, per rafforzare la sicurezza degli account più sensibili, il NIST raccomanda alle organizzazioni di impostare la lunghezza massima delle password a 64 caratteri. Ciò consente di utilizzare le passphrase. Una passphrase è una password composta da una frase o da una combinazione di parole. Aiuta gli utenti a memorizzare password più lunghe e rende più difficile per gli hacker indovinarle con la forza bruta.
Screening delle password contro le blacklist
Il riutilizzo delle password è un problema comune e secondo un sondaggio Google/Harris, il 52% delle persone riutilizza la stessa password su più account. Questo comportamento rischioso ha portato a un'enorme impennata negli attacchi di credential stuffing mentre gli hacker tentano di incassare i miliardi di credenziali compromesse disponibili per l'acquisto sul dark web. Utilizzando queste credenziali rubate, gli hacker possono tentare di accedere ad altri account utente utilizzando la stessa password compromessa.
Per combattere questa minaccia, il NIST raccomanda alle organizzazioni di utilizzare un software che vagli le password rispetto a una lista nera che include parole del dizionario, stringhe ripetitive o sequenziali, password rubate in precedenti violazioni, frasi di accesso comunemente usate o altre parole e modelli che gli hacker potrebbero indovinare. Questo processo di screening aiuta gli utenti ad evitare di selezionare password che rappresentano un rischio per la sicurezza e segnalerà se una password precedentemente sicura viene esposta in futuro.
Eliminare la reimpostazione regolare della password
Molte organizzazioni richiedono ai propri dipendenti di cambiare le password a intervalli regolari, spesso ogni 30, 60 o 90 giorni. Tuttavia, studi recenti hanno dimostrato che questo approccio alla sicurezza delle password è spesso controproducente e può di fatto peggiorare la sicurezza. In genere, gli utenti hanno più password da ricordare, quindi quando sono costretti a fare un reset periodico, ricorrono a modelli comportamentali prevedibili, come la scelta di una nuova password che è solo una variazione minima di quella precedente.
Possono aggiornarla cambiando un singolo carattere o aggiungendo un simbolo che assomiglia a una lettera (ad esempio ! al posto di I). Se un aggressore conosce già la password esistente dell'utente, non sarà difficile decifrare la versione aggiornata. Il NIST raccomanda di rimuovere questo requisito per rendere la sicurezza delle password più facile da usare, e Microsoft consiglia di farlo: "Se una password non viene mai rubata, non è necessario farla scadere. E se avete le prove che una password è stata rubata, presumibilmente agirete immediatamente piuttosto che aspettare la scadenza per risolvere il problema".
Permettere il copia e incolla della password
Il NIST ha rivisto la sua precedente guida e ora raccomanda l'uso del 'copia e incolla' quando si digita una password. Questo aiuta a promuovere l'uso di password manager che indubbiamente aumenta la sicurezza permettendo agli utenti di generare password più lunghe e più difficili da decifrare.
Limitare i tentativi di password
Usando l'attacco brute-force, gli hacker possono tentare di violare un account accedendo sistematicamente e provando ogni possibile combinazione di lettere, numeri e simboli finché non trovano la giusta combinazione di password. Uno dei modi migliori per difendersi da questo tipo di attacco è limitare il numero di tentativi di password che ogni singolo indirizzo IP può fare in un certo lasso di tempo.
Non usare i suggerimenti di password
I suggerimenti per le password sono spesso usati dalle organizzazioni per aiutare i loro utenti a ricordare password complesse. Può trattarsi di una semplice richiesta o all'utente viene richiesto di rispondere a una domanda personale come "In quale città sei nato?" o "Qual è il nome della tua prima scuola?". Le risposte a molte di queste domande possono essere facilmente trovate sui social media da un attaccante determinato. Questo mina la sicurezza ed è il motivo per cui il NIST ha consigliato alle organizzazioni di abbandonare questa pratica in quanto potrebbe potenzialmente aumentare la possibilità di una violazione.
Usa l'autenticazione a più fattori
L'autenticazione a più fattori (MFA) è uno dei modi più efficaci per fornire una protezione aggiuntiva a un account protetto da password. Secondo Microsoft, gli account hanno oltre il 99,9% di probabilità in meno di essere compromessi se l'MFA è abilitato. Tuttavia, una recente indagine di GetApp ha rilevato che solo il 55% degli intervistati utilizza l'autenticazione a due fattori come impostazione predefinita per i propri account aziendali e personali, quando è disponibile.
Ci sono tre tipi di autenticazione che possono essere utilizzati:
- Qualcosa che conosci: Una password, un PIN, un codice postale o la risposta a una domanda (es: il nome da nubile della madre).
- Qualcosa che hai: Un token, un telefono, una carta di credito, una SIM o una chiave di sicurezza fisica.
- Qualcosa che sei: Dati biometrici come l'impronta digitale, la voce o il riconoscimento facciale.
Alcuni di questi metodi di verifica sono senza dubbio più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina una password, non sarà in grado di accedere all'account senza un altro fattore di autenticazione.
Formare il personale sulle migliori pratiche per le password
Ci sono molti consigli contrastanti su ciò che costituisce una password sicura, quindi è fondamentale che il tuo staff comprenda le migliori pratiche e sia pienamente versato su ciò che la tua politica delle password richiede loro. La formazione sulla sicurezza dovrebbe educare il personale su:
- I rischi di riutilizzare le stesse password negli account di casa e di lavoro
- Come creare password forti e sicure
- Come abilitare l'MFA
- Come utilizzare un gestore automatico di password per archiviare le password in modo sicuro
