Non vuoi perderti neanche uno dei nostri post? Seguici sulla tua piattaforma preferita.
Pubblicato il: 7 Maggio 2024 | Aggiornato al: 7 Maggio 2024 | Tempo di lettura: 9,5 min | Parole: 1906 |

Nell’era digitale in cui viviamo, la sicurezza delle password riveste un’importanza cruciale per proteggere dati sensibili e infrastrutture critiche. Con l’aumento delle minacce informatiche, è fondamentale che le organizzazioni adottino misure robuste per garantire la sicurezza delle proprie password. In questo articolo, esploreremo una checklist dettagliata per la sicurezza delle password in conformità con la normativa vigente.

Utile anche in caso di redazione di Misure Minime ICT per la PA, ISO/IEC 27001 e NIS2.

La checklist

NB: La presente checklist è redatta così com’è per uno spunto generico, per un servizio personalizzato e su misura non esitare a contattarci.

1. Politica su Complessità e Robustezza delle Password

Una politica sulle password robuste è il fondamento di una solida strategia di sicurezza delle password. È essenziale che le password siano complesse e difficili da indovinare. Una politica efficace dovrebbe richiedere una lunghezza minima, l’utilizzo di caratteri diversificati (lettere maiuscole e minuscole, numeri e caratteri speciali) e vietare l’uso di password facilmente indovinabili.

Devono essere abbastanza lunghe, almeno 10 caratteri, ma consigliamo di creare delle frasi o unioni di parole casuali di almeno 16 caratteri, la password “IeriHoIncontratoPippoPlutoEPaperino” è più sicura e molto più difficile da hackerare di “4ygr4&47;5&4c” e soprattutto molto più semplice da ricordare.

Puoi testare la robustezza delle tue password con il tester online di Bitwarden:
https://bitwarden.com/password-strength/

2. Rotazione e Scadenza Periodica delle Password

La rotazione periodica delle password è fondamentale per ridurre il rischio di compromissione delle credenziali. Impostando una politica di rotazione regolare, le organizzazioni possono garantire che le password vengano regolarmente aggiornate e che eventuali password compromesse vengano prontamente sostituite.

La scadenza regolare delle password contribuisce a mantenere un livello elevato di sicurezza delle credenziali degli utenti.

Il tempo di scadenza deve variare in base ai provilegi degli utenti, se ad amministratore possiamo impostare il cambio obbligatorio ogni 3 mesi lo stesso non si può dire per un utente comune, che se obbligato a cambiare la password ogni 3 mesi utilizzerà password semplici, simili tra loro che spesso scriverà su un post-it sul PC come “Pippo03” dove ogni 3 mesi cambierà solo l’ultimo numero per rispettare i criteri in “Pippo06”, questo porta a tanti altri problemi di contorno come password dimenticate, post-it persi ecc. Meglio creare vari livelli di scadenza in base al livello di accesso degli utenti, come ad esempio:
– Amministratori di sistema: 3 mesi
– Operatori con accesso ai documenti sensibili: 6 mesi
– Operatori senza accesso a documenti sensibili: 12 mesi

3. Autenticazione a più Fattori (MFA)

L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire ulteriori prove della propria identità oltre alla semplice password. L’implementazione di MFA dovrebbe essere incoraggiata ovunque possibile, e reso obbligatoria in caso di necessità specialmente per l’accesso a servizi critici, ad esempio:
– Accesso ai Server obbligatorio
– Accesso remoto alla rete obbligatorio
– Accesso remoto ai dispositivi (TeamViewer, Anydesk ecc.) obbligatorio
– Accesso ai dispositivi contenenti documenti sensibili obbligatorio
– Accesso al pannello di amministrazione del sito web obbligatorio
– Accesso alla rete WiFi Guest facoltativo

4. Limitazioni sul Numero di Tentativi di Accesso

Limitare il numero di tentativi di accesso consentiti prima che un account venga temporaneamente bloccato è un’importante misura per proteggere da attacchi di forza bruta. Questa politica può aiutare a prevenire l’accesso non autorizzato da parte di attaccanti che cercano di indovinare le password.
Il blocco per password errata deve essere attivato su tutti i sistemi compatibili, ma in particolare si devono attivare sui sistemi più sensibili:
– Pannello di amministrazione del sito web
– Server
– Postazioni Di Lavoro con accesso ai documenti sensibili
– Apparati di Sicurezza di Rete

5. Monitoraggio e Registrazione degli Accessi

Il monitoraggio e la registrazione degli accessi consentono di tenere traccia dei tentativi di accesso e delle attività degli utenti per individuare comportamenti sospetti o attività non autorizzate. La registrazione degli accessi fornisce un registro dettagliato delle attività degli utenti per scopi di sicurezza e conformità.

6. Proibizione delle Password Deboli

Le password deboli rappresentano un rischio significativo per la sicurezza. Vietare l’uso di password deboli come “password” o “123456” è essenziale per garantire che le credenziali degli utenti siano protette da attacchi di facile indovinamento.

7. Crittografia delle Password

Le password devono essere memorizzate in modo sicuro utilizzando algoritmi di crittografia robusti e standard del settore. La crittografia delle password protegge le credenziali degli utenti in caso di compromissione dei dati. Non vanno bene documenti excel con password o blocco note, le password devono essere cifrate se vengono conservate.
Il garante della privacy italiano ha descritto gli algoritmi da utilizzare per conservare le password:
https://gpdp.it/temi/cybersecurity/password/conservazione-delle-password

8. Divieto di Password Condivise

Le password condivise rappresentano un rischio per la sicurezza poiché possono essere facilmente compromesse o utilizzate da utenti non autorizzati. Vietare l’uso di password condivise e incoraggiare ogni utente a utilizzare solo le proprie credenziali di accesso contribuisce a proteggere le risorse dell’organizzazione.

9. Revisione delle Password degli Utenti Privilegiati

Gli utenti con privilegi elevati devono essere soggetti ad una stringente revisione regolare delle password per ridurre il rischio di abusi o accessi non autorizzati. Una revisione periodica delle password degli utenti privilegiati contribuisce a garantire la sicurezza degli account con accesso sensibile.

10. Formazione degli Utenti

Fornire formazione agli utenti sull’importanza di utilizzare password sicure e sulle pratiche migliori per proteggere le proprie credenziali è essenziale per garantire la sicurezza delle password. Gli utenti devono essere consapevoli dei rischi associati all’uso di password deboli o condivise e istruiti su come creare e gestire password sicure.

11. Notifica degli Accessi non Autorizzati

Implementare un sistema di notifica per avvisare gli utenti e gli amministratori in caso di accessi non autorizzati o attività sospette è fondamentale per garantire una risposta rapida e appropriata alle potenziali minacce alla sicurezza. La notifica degli accessi non autorizzati consente alle organizzazioni di identificare e mitigare prontamente le violazioni della sicurezza.

12. Integrazione con le Politiche di Gestione degli Accessi a Dispositivi e Strutture

Assicurarsi che la gestione delle password sia integrata con le politiche di gestione degli accessi è fondamentale per garantire una coerenza nelle procedure di sicurezza. L’integrazione tra la gestione delle password e le politiche di gestione degli accessi aiuta a garantire che gli utenti abbiano solo l’accesso autorizzato alle risorse dell’organizzazione.

13. Valutazione Periodica della Conformità

Eseguire valutazioni periodiche per garantire che le password siano gestite in conformità con le politiche di sicurezza stabilite. La valutazione periodica della conformità aiuta a identificare e correggere eventuali lacune nella sicurezza delle password e a garantire il rispetto delle normative e degli standard di sicurezza.

14. Audit delle Password

Conducere audit periodici delle password è essenziale per identificare password deboli o comportamenti non conformi alle politiche di sicurezza. Gli audit delle password forniscono una panoramica dettagliata dello stato della sicurezza delle password e aiutano a identificare e risolvere prontamente eventuali vulnerabilità.

15. Aggiornamento delle Politiche di Password

Aggiornare regolarmente le politiche di password per tener conto delle nuove minacce e delle migliori pratiche di sicurezza è fondamentale per garantire una protezione efficace delle credenziali degli utenti. Le politiche di password dovrebbero essere riviste e aggiornate regolarmente per rimanere al passo con l’evoluzione del panorama della sicurezza informatica.

16. Documento sulla gestione delle password

In tutti i casi in cui si fa riferimento ad una norma o una certificazione, requisiti Minimi ICT, ISO 27001, NIS2 ecc è obbligatorio redigere un documento sulla gestione delle password.
Questo documento dovrebbe fornire linee guida e procedure per garantire che le password vengano gestite in modo sicuro e conforme agli standard di sicurezza dell’organizzazione con gli elementi che abbiamo descritto all’interno della checklist.

All’interno del documento oltre a descrivedere i vari punti con le regole da seguire per tutte le password è opportuno anche creare una tabella con al suo interno le tipologie di password e le regole differenziate nel caso alcune password, es. quelle di amministrazione, siano più complesse e vengano cambiate con più frequenza di altre.

Tipologia di Password Lunghezza MFA Frequenza cambio password Conservazione Log Cancellazione
Password utenti almeno 14 caratteri alfanumerici obbligatorio 360 giorni All’interno dell’archivio personale del Password Manager Log di utilizzo all’interno dei vari sistemi utilizzati. Dal sistema utilizzato all’eliminazione dell’utente.
Password utenti con accesso ai dati sensibili almeno 14 caratteri alfanumerici obbligatorio 180 giorni All’interno dell’archivio personale del Password Manager Log di utilizzo all’interno dei vari sistemi utilizzati. Dal sistema utilizzato all’eliminazione dell’utente.
Password di amministrazione di apparati di rete (switch, firewall, controller ecc.) almeno 32 caratteri alfanumerici casuali (oppure il massimo dei caratteri consentiti su sistemi legacy) obbligatorio 90 giorni All’interno dell’archivio personale del Password Manager Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password. Non appena l’apparato non è piu utilizzato.
Password di amministratore Dominio (Google, Microsoft, Dominio AD ecc.) almeno 32 caratteri alfanumerici obbligatorio 30 giorni All’interno dell’archivio personale del Password Manager Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate.
Non appena l’account non è piu utilizzato.
Password di amministratore Sito Web (WordPress, Joomla ecc.) almeno 32 caratteri alfanumerici obbligatorio 30 giorni All’interno dell’archivio personale del Password Manager Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate.
Non appena l’account non è piu utilizzato.

 

Punti Extra

1. Gestione Centralizzata delle Password

 

Un sistema centralizzato per la gestione delle password consente di applicare in modo coerente le politiche di sicurezza delle password e di monitorare l’uso delle password in tutta l’organizzazione. Questo aiuta a garantire una maggiore coerenza e sicurezza nel processo di gestione delle credenziali.

 

2. Monitoraggio e Registrazione di Accesso alle Password

 

Sempre più spesso si sente parlare di attacchi portati avanti settimane o mesi dopo aver esfiltrato le password. Monitorare e registrare l’utilizzo e la visualizzazione delle password da parte degli utenti aiuta a fermare questi attacchi prima che partano!

 

3. Controllo automatico delle password compromesse

 

La compromissione di una password può essere anche scoperta dopo mesi, nel frangente l’utente potrebbe aver utilizzato la password sui sistemi aziendali lasciando aperta una porta fino al prossimo cambio di password. Dotarsi di un sistema di controllo automatico delle password salvate all’interno dell’organizzazione permette di scoprire quando una password è compromessa per cambiarla in tempo utile.

Conclusione

La sicurezza delle password è un elemento chiave della protezione dei dati e delle infrastrutture digitali.Seguire una checklist dettagliata come quella presentata in questo articolo può aiutare le organizzazioni a garantire la conformità alla normativa e a proteggere le proprie risorse da potenziali minacce informatiche. Investire nella sicurezza delle password è essenziale per mantenere la fiducia degli utenti e proteggere la reputazione e la riservatezza dell’organizzazione.

A questo link trovi come gestiamo le password nostre e per i nostri clienti con il nostro password manager:
https://supporto.clanto.it/kb/conservazione-delle-password/

Normative di riferimento

Linee guida del garante sulle password:
https://www.garanteprivacy.it/temi/cybersecurity/password

Linee guida del garante sulla conservazione delle password:
https://gpdp.it/temi/cybersecurity/password/conservazione-delle-password

Suggerimenti per creare e gestire le password:
https://www.garanteprivacy.it/documents/10160/0/Suggerimenti+per+creare+e+gestire+password+a+prova+di+privacy.pdf/3af66017-7a4a-4a18-895e-ce94e2522cee?version=10.0

Linee guida crittografia e conservazione delle password:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962283

Misure Minime di Sicurezza ICT per le PA:
https://cert-agid.gov.it/download/MM.odt

Linee guida NIST 800-63:
https://pages.nist.gov/800-63-3/sp800-63-3.html

Resta sempre aggiornato sulle ultime notizie dal mondo della Cybersecurity e della Data Protection sulle tue piattaforme preferite:
Scritto da : Antonio Esposito

L'Hacker Etico che fa tremare i Server e nessuno vuole tra i piedi, guida la sua squadra di nerds nella lotta contro i cyber-cattivi. Armato delle sue fidate IA e di codice Open Source affronta le minacce del cyberspazio con coraggio, anche quando il suo PC emette suoni misteriosi e schermate blu. Nelle ore silenziose della notte, il cyberspazio diventa il suo regno, e il sonno diventa solo un'altra variabile da ottimizzare.