Sicurezza delle Password e Conformità: Una Checklist Dettagliata

Nell’era digitale in cui viviamo, la sicurezza delle password riveste un’importanza cruciale per proteggere dati sensibili e infrastrutture critiche. Con l’aumento delle minacce informatiche, è fondamentale che le organizzazioni adottino misure robuste per garantire la sicurezza delle proprie password. In questo articolo, esploreremo una checklist dettagliata per la sicurezza delle password in conformità con la normativa vigente.

Utile anche in caso di redazione di Misure Minime ICT per la PA, ISO/IEC 27001 e NIS2.

La checklist

NB: La presente checklist è redatta così com’è per uno spunto generico, per un servizio personalizzato e su misura non esitare a contattarci.

1. Politica su Complessità e Robustezza delle Password

Una politica sulle password robuste è il fondamento di una solida strategia di sicurezza delle password. È essenziale che le password siano complesse e difficili da indovinare. Una politica efficace dovrebbe richiedere una lunghezza minima, l’utilizzo di caratteri diversificati (lettere maiuscole e minuscole, numeri e caratteri speciali) e vietare l’uso di password facilmente indovinabili.

Devono essere abbastanza lunghe, almeno 10 caratteri, ma consigliamo di creare delle frasi o unioni di parole casuali di almeno 16 caratteri, la password “IeriHoIncontratoPippoPlutoEPaperino” è più sicura e molto più difficile da hackerare di “4ygr4&47;5&4c” e soprattutto molto più semplice da ricordare.

Puoi testare la robustezza delle tue password con il tester online di Bitwarden:
https://bitwarden.com/password-strength/

2. Rotazione e Scadenza Periodica delle Password

La rotazione periodica delle password è fondamentale per ridurre il rischio di compromissione delle credenziali. Impostando una politica di rotazione regolare, le organizzazioni possono garantire che le password vengano regolarmente aggiornate e che eventuali password compromesse vengano prontamente sostituite.

La scadenza regolare delle password contribuisce a mantenere un livello elevato di sicurezza delle credenziali degli utenti.

Il tempo di scadenza deve variare in base ai provilegi degli utenti, se ad amministratore possiamo impostare il cambio obbligatorio ogni 3 mesi lo stesso non si può dire per un utente comune, che se obbligato a cambiare la password ogni 3 mesi utilizzerà password semplici, simili tra loro che spesso scriverà su un post-it sul PC come “Pippo03” dove ogni 3 mesi cambierà solo l’ultimo numero per rispettare i criteri in “Pippo06”, questo porta a tanti altri problemi di contorno come password dimenticate, post-it persi ecc. Meglio creare vari livelli di scadenza in base al livello di accesso degli utenti, come ad esempio:
– Amministratori di sistema: 3 mesi
– Operatori con accesso ai documenti sensibili: 6 mesi
– Operatori senza accesso a documenti sensibili: 12 mesi

3. Autenticazione a più Fattori (MFA)

L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire ulteriori prove della propria identità oltre alla semplice password. L’implementazione di MFA dovrebbe essere incoraggiata ovunque possibile, e reso obbligatoria in caso di necessità specialmente per l’accesso a servizi critici, ad esempio:
– Accesso ai Server obbligatorio
– Accesso remoto alla rete obbligatorio
– Accesso remoto ai dispositivi (TeamViewer, Anydesk ecc.) obbligatorio
– Accesso ai dispositivi contenenti documenti sensibili obbligatorio
– Accesso al pannello di amministrazione del sito web obbligatorio
– Accesso alla rete WiFi Guest facoltativo

4. Limitazioni sul Numero di Tentativi di Accesso

Limitare il numero di tentativi di accesso consentiti prima che un account venga temporaneamente bloccato è un’importante misura per proteggere da attacchi di forza bruta. Questa politica può aiutare a prevenire l’accesso non autorizzato da parte di attaccanti che cercano di indovinare le password.
Il blocco per password errata deve essere attivato su tutti i sistemi compatibili, ma in particolare si devono attivare sui sistemi più sensibili:
– Pannello di amministrazione del sito web
– Server
– Postazioni Di Lavoro con accesso ai documenti sensibili
– Apparati di Sicurezza di Rete

5. Monitoraggio e Registrazione degli Accessi

Il monitoraggio e la registrazione degli accessi consentono di tenere traccia dei tentativi di accesso e delle attività degli utenti per individuare comportamenti sospetti o attività non autorizzate. La registrazione degli accessi fornisce un registro dettagliato delle attività degli utenti per scopi di sicurezza e conformità.

6. Proibizione delle Password Deboli

Le password deboli rappresentano un rischio significativo per la sicurezza. Vietare l’uso di password deboli come “password” o “123456” è essenziale per garantire che le credenziali degli utenti siano protette da attacchi di facile indovinamento.

7. Crittografia delle Password

Le password devono essere memorizzate in modo sicuro utilizzando algoritmi di crittografia robusti e standard del settore. La crittografia delle password protegge le credenziali degli utenti in caso di compromissione dei dati. Non vanno bene documenti excel con password o blocco note, le password devono essere cifrate se vengono conservate.
Il garante della privacy italiano ha descritto gli algoritmi da utilizzare per conservare le password:
https://gpdp.it/temi/cybersecurity/password/conservazione-delle-password

8. Divieto di Password Condivise

Le password condivise rappresentano un rischio per la sicurezza poiché possono essere facilmente compromesse o utilizzate da utenti non autorizzati. Vietare l’uso di password condivise e incoraggiare ogni utente a utilizzare solo le proprie credenziali di accesso contribuisce a proteggere le risorse dell’organizzazione.

9. Revisione delle Password degli Utenti Privilegiati

Gli utenti con privilegi elevati devono essere soggetti ad una stringente revisione regolare delle password per ridurre il rischio di abusi o accessi non autorizzati. Una revisione periodica delle password degli utenti privilegiati contribuisce a garantire la sicurezza degli account con accesso sensibile.

10. Formazione degli Utenti

Fornire formazione agli utenti sull’importanza di utilizzare password sicure e sulle pratiche migliori per proteggere le proprie credenziali è essenziale per garantire la sicurezza delle password. Gli utenti devono essere consapevoli dei rischi associati all’uso di password deboli o condivise e istruiti su come creare e gestire password sicure.

11. Notifica degli Accessi non Autorizzati

Implementare un sistema di notifica per avvisare gli utenti e gli amministratori in caso di accessi non autorizzati o attività sospette è fondamentale per garantire una risposta rapida e appropriata alle potenziali minacce alla sicurezza. La notifica degli accessi non autorizzati consente alle organizzazioni di identificare e mitigare prontamente le violazioni della sicurezza.

12. Integrazione con le Politiche di Gestione degli Accessi a Dispositivi e Strutture

Assicurarsi che la gestione delle password sia integrata con le politiche di gestione degli accessi è fondamentale per garantire una coerenza nelle procedure di sicurezza. L’integrazione tra la gestione delle password e le politiche di gestione degli accessi aiuta a garantire che gli utenti abbiano solo l’accesso autorizzato alle risorse dell’organizzazione.

13. Valutazione Periodica della Conformità

Eseguire valutazioni periodiche per garantire che le password siano gestite in conformità con le politiche di sicurezza stabilite. La valutazione periodica della conformità aiuta a identificare e correggere eventuali lacune nella sicurezza delle password e a garantire il rispetto delle normative e degli standard di sicurezza.

14. Audit delle Password

Conducere audit periodici delle password è essenziale per identificare password deboli o comportamenti non conformi alle politiche di sicurezza. Gli audit delle password forniscono una panoramica dettagliata dello stato della sicurezza delle password e aiutano a identificare e risolvere prontamente eventuali vulnerabilità.

15. Aggiornamento delle Politiche di Password

Aggiornare regolarmente le politiche di password per tener conto delle nuove minacce e delle migliori pratiche di sicurezza è fondamentale per garantire una protezione efficace delle credenziali degli utenti. Le politiche di password dovrebbero essere riviste e aggiornate regolarmente per rimanere al passo con l’evoluzione del panorama della sicurezza informatica.

16. Documento sulla gestione delle password

In tutti i casi in cui si fa riferimento ad una norma o una certificazione, requisiti Minimi ICT, ISO 27001, NIS2 ecc è obbligatorio redigere un documento sulla gestione delle password.
Questo documento dovrebbe fornire linee guida e procedure per garantire che le password vengano gestite in modo sicuro e conforme agli standard di sicurezza dell’organizzazione con gli elementi che abbiamo descritto all’interno della checklist.

All’interno del documento oltre a descrivedere i vari punti con le regole da seguire per tutte le password è opportuno anche creare una tabella con al suo interno le tipologie di password e le regole differenziate nel caso alcune password, es. quelle di amministrazione, siano più complesse e vengano cambiate con più frequenza di altre.