{"id":2468,"date":"2024-05-07T14:01:30","date_gmt":"2024-05-07T12:01:30","guid":{"rendered":"https:\/\/scuola.org\/?p=2468"},"modified":"2024-05-07T14:51:47","modified_gmt":"2024-05-07T12:51:47","slug":"sicurezza-delle-password-e-conformita-una-checklist-dettagliata","status":"publish","type":"post","link":"https:\/\/scuola.org\/consigli-di-cybersecurity\/sicurezza-delle-password-e-conformita-una-checklist-dettagliata\/","title":{"rendered":"Sicurezza delle Password e Conformit\u00e0: Una Checklist Dettagliata"},"content":{"rendered":"
Nell\u2019era digitale in cui viviamo, la sicurezza delle password riveste un\u2019importanza cruciale per proteggere dati sensibili e infrastrutture critiche. Con l\u2019aumento delle minacce informatiche, \u00e8 fondamentale che le organizzazioni adottino misure robuste per garantire la sicurezza delle proprie password. In questo articolo, esploreremo una checklist dettagliata per la sicurezza delle password in conformit\u00e0 con la normativa vigente.<\/p>\n
Utile anche in caso di redazione di Misure Minime ICT per la PA, ISO\/IEC 27001 e NIS2.<\/p>\n
NB: La presente checklist \u00e8 redatta cos\u00ec com\u2019\u00e8 per uno spunto generico, per un servizio personalizzato e su misura non esitare a contattarci.<\/p>\n
Una politica sulle password robuste \u00e8 il fondamento di una solida strategia di sicurezza delle password. \u00c8 essenziale che le password siano complesse e difficili da indovinare. Una politica efficace dovrebbe richiedere una lunghezza minima, l\u2019utilizzo di caratteri diversificati (lettere maiuscole e minuscole, numeri e caratteri speciali) e vietare l\u2019uso di password facilmente indovinabili.<\/p>\n
Devono essere abbastanza lunghe, almeno 10 caratteri, ma consigliamo di creare delle frasi o unioni di parole casuali di almeno 16 caratteri, la password \u201cIeriHoIncontratoPippoPlutoEPaperino\u201d \u00e8 pi\u00f9 sicura e molto pi\u00f9 difficile da hackerare di \u201c4ygr4&47;5&4c\u201d e soprattutto molto pi\u00f9 semplice da ricordare.<\/p>\n
Puoi testare la robustezza delle tue password con il tester online di Bitwarden: La rotazione periodica delle password \u00e8 fondamentale per ridurre il rischio di compromissione delle credenziali. Impostando una politica di rotazione regolare, le organizzazioni possono garantire che le password vengano regolarmente aggiornate e che eventuali password compromesse vengano prontamente sostituite.<\/p>\n La scadenza regolare delle password contribuisce a mantenere un livello elevato di sicurezza delle credenziali degli utenti.<\/p>\n Il tempo di scadenza deve variare in base ai provilegi degli utenti, se ad amministratore possiamo impostare il cambio obbligatorio ogni 3 mesi lo stesso non si pu\u00f2 dire per un utente comune, che se obbligato a cambiare la password ogni 3 mesi utilizzer\u00e0 password semplici, simili tra loro che spesso scriver\u00e0 su un post-it sul PC come \u201cPippo03\u201d dove ogni 3 mesi cambier\u00e0 solo l\u2019ultimo numero per rispettare i criteri in \u201cPippo06\u201d, questo porta a tanti altri problemi di contorno come password dimenticate, post-it persi ecc. Meglio creare vari livelli di scadenza in base al livello di accesso degli utenti, come ad esempio: L\u2019autenticazione a pi\u00f9 fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire ulteriori prove della propria identit\u00e0 oltre alla semplice password. L\u2019implementazione di MFA dovrebbe essere incoraggiata ovunque possibile, e reso obbligatoria in caso di necessit\u00e0 specialmente per l\u2019accesso a servizi critici, ad esempio: Limitare il numero di tentativi di accesso consentiti prima che un account venga temporaneamente bloccato \u00e8 un\u2019importante misura per proteggere da attacchi di forza bruta. Questa politica pu\u00f2 aiutare a prevenire l\u2019accesso non autorizzato da parte di attaccanti che cercano di indovinare le password. Il monitoraggio e la registrazione degli accessi consentono di tenere traccia dei tentativi di accesso e delle attivit\u00e0 degli utenti per individuare comportamenti sospetti o attivit\u00e0 non autorizzate. La registrazione degli accessi fornisce un registro dettagliato delle attivit\u00e0 degli utenti per scopi di sicurezza e conformit\u00e0.<\/p>\n Le password deboli rappresentano un rischio significativo per la sicurezza. Vietare l\u2019uso di password deboli come \u201cpassword\u201d o \u201c123456\u201d \u00e8 essenziale per garantire che le credenziali degli utenti siano protette da attacchi di facile indovinamento.<\/p>\n Le password devono essere memorizzate in modo sicuro utilizzando algoritmi di crittografia robusti e standard del settore. La crittografia delle password protegge le credenziali degli utenti in caso di compromissione dei dati. Non vanno bene documenti excel con password o blocco note, le password devono essere cifrate se vengono conservate. Le password condivise rappresentano un rischio per la sicurezza poich\u00e9 possono essere facilmente compromesse o utilizzate da utenti non autorizzati. Vietare l\u2019uso di password condivise e incoraggiare ogni utente a utilizzare solo le proprie credenziali di accesso contribuisce a proteggere le risorse dell\u2019organizzazione.<\/p>\n Gli utenti con privilegi elevati devono essere soggetti ad una stringente revisione regolare delle password per ridurre il rischio di abusi o accessi non autorizzati. Una revisione periodica delle password degli utenti privilegiati contribuisce a garantire la sicurezza degli account con accesso sensibile.<\/p>\n Fornire formazione agli utenti sull\u2019importanza di utilizzare password sicure e sulle pratiche migliori per proteggere le proprie credenziali \u00e8 essenziale per garantire la sicurezza delle password. Gli utenti devono essere consapevoli dei rischi associati all\u2019uso di password deboli o condivise e istruiti su come creare e gestire password sicure.<\/p>\n Implementare un sistema di notifica per avvisare gli utenti e gli amministratori in caso di accessi non autorizzati o attivit\u00e0 sospette \u00e8 fondamentale per garantire una risposta rapida e appropriata alle potenziali minacce alla sicurezza. La notifica degli accessi non autorizzati consente alle organizzazioni di identificare e mitigare prontamente le violazioni della sicurezza.<\/p>\n Assicurarsi che la gestione delle password sia integrata con le politiche di gestione degli accessi \u00e8 fondamentale per garantire una coerenza nelle procedure di sicurezza. L\u2019integrazione tra la gestione delle password e le politiche di gestione degli accessi aiuta a garantire che gli utenti abbiano solo l\u2019accesso autorizzato alle risorse dell\u2019organizzazione.<\/p>\n Eseguire valutazioni periodiche per garantire che le password siano gestite in conformit\u00e0 con le politiche di sicurezza stabilite. La valutazione periodica della conformit\u00e0 aiuta a identificare e correggere eventuali lacune nella sicurezza delle password e a garantire il rispetto delle normative e degli standard di sicurezza.<\/p>\n Conducere audit periodici delle password \u00e8 essenziale per identificare password deboli o comportamenti non conformi alle politiche di sicurezza. Gli audit delle password forniscono una panoramica dettagliata dello stato della sicurezza delle password e aiutano a identificare e risolvere prontamente eventuali vulnerabilit\u00e0.<\/p>\n Aggiornare regolarmente le politiche di password per tener conto delle nuove minacce e delle migliori pratiche di sicurezza \u00e8 fondamentale per garantire una protezione efficace delle credenziali degli utenti. Le politiche di password dovrebbero essere riviste e aggiornate regolarmente per rimanere al passo con l\u2019evoluzione del panorama della sicurezza informatica.<\/p>\n In tutti i casi in cui si fa riferimento ad una norma o una certificazione, requisiti Minimi ICT, ISO 27001, NIS2 ecc \u00e8 obbligatorio redigere un documento sulla gestione delle password. All\u2019interno del documento oltre a descrivedere i vari punti con le regole da seguire per tutte le password \u00e8 opportuno anche creare una tabella con al suo interno le tipologie di password e le regole differenziate nel caso alcune password, es. quelle di amministrazione, siano pi\u00f9 complesse e vengano cambiate con pi\u00f9 frequenza di altre.<\/p>\n<\/div><\/div><\/div><\/div><\/div>
https:\/\/bitwarden.com\/password-strength\/<\/a><\/p>\n2. Rotazione e Scadenza Periodica delle Password<\/strong><\/h3>\n
\u2013 Amministratori di sistema: 3 mesi
\u2013 Operatori con accesso ai documenti sensibili: 6 mesi
\u2013 Operatori senza accesso a documenti sensibili: 12 mesi<\/p>\n3. Autenticazione a pi\u00f9 Fattori (MFA)<\/strong><\/h3>\n
\u2013 Accesso ai Server obbligatorio<\/em><\/strong>
\u2013 Accesso remoto alla rete obbligatorio<\/em><\/strong>
\u2013 Accesso remoto ai dispositivi (TeamViewer, Anydesk ecc.) obbligatorio<\/em><\/strong>
\u2013 Accesso ai dispositivi contenenti documenti sensibili obbligatorio<\/em><\/strong>
\u2013 Accesso al pannello di amministrazione del sito web obbligatorio<\/em><\/strong>
\u2013 Accesso alla rete WiFi Guest facoltativo<\/strong><\/em><\/p>\n4. Limitazioni sul Numero di Tentativi di Accesso<\/strong><\/h3>\n
Il blocco per password errata deve essere attivato su tutti i sistemi compatibili, ma in particolare si devono attivare sui sistemi pi\u00f9 sensibili:
\u2013 Pannello di amministrazione del sito web
\u2013 Server
\u2013 Postazioni Di Lavoro con accesso ai documenti sensibili
\u2013 Apparati di Sicurezza di Rete<\/p>\n5. Monitoraggio e Registrazione degli Accessi<\/strong><\/h3>\n
6. Proibizione delle Password Deboli<\/strong><\/h3>\n
7. Crittografia delle Password<\/strong><\/h3>\n
Il garante della privacy italiano ha descritto gli algoritmi da utilizzare per conservare le password:
https:\/\/gpdp.it\/temi\/cybersecurity\/password\/conservazione-delle-password<\/a><\/p>\n8. Divieto di Password Condivise<\/strong><\/h3>\n
9. Revisione delle Password degli Utenti Privilegiati<\/strong><\/h3>\n
10. Formazione degli Utenti<\/strong><\/h3>\n
11. Notifica degli Accessi non Autorizzati<\/strong><\/h3>\n
12. Integrazione con le Politiche di Gestione degli Accessi a Dispositivi e Strutture<\/strong><\/h3>\n
13. Valutazione Periodica della Conformit\u00e0<\/strong><\/h3>\n
14. Audit delle Password<\/strong><\/h3>\n
15. Aggiornamento delle Politiche di Password<\/strong><\/h3>\n
16. Documento sulla gestione delle password<\/strong><\/h3>\n
Questo documento dovrebbe fornire linee guida e procedure per garantire che le password vengano gestite in modo sicuro e conforme agli standard di sicurezza dell\u2019organizzazione con gli elementi che abbiamo descritto all\u2019interno della checklist.<\/p>\n