Imprenditori di tutta Italia, state in campana: sono uscite le nuove direttive del NIST in materia di sicurezza delle password ed è arrivato il momento di adeguarsi.
La sicurezza delle password aziendali è un aspetto critico che le aziende di tutte le dimensioni devono prendere in seria considerazione. Le password sono spesso l’anello debole di un sistema altrimenti sicuro e qualsiasi lassismo nelle pratiche relative alle password può rendere un’azienda vulnerabile agli attacchi. Con programmi di malware e tecniche di hacking sempre più sofisticati, è più che mai importante che le aziende si assicurino che le loro password siano difficili da decifrare e vengano cambiate regolarmente. Una strategia completa di sicurezza delle password aziendali è essenziale per proteggere i dati sensibili e mantenere l’integrità dei sistemi informatici. Questo articolo esaminerà l’importanza di solide politiche di sicurezza delle password aziendali, esplorerà le migliori pratiche per la creazione di password forti e fornirà indicazioni su come le aziende possono applicare tali procedure.
Che cos’è il NIST?
Parlare di NIST in ambito Sicurezza Informatica è esattamente come parlare di Barilla nel settore Food.
Se con questo paragone ancora non avessimo reso bene l’idea dell’attendibilità della fonte vi spieghiamo meglio di cosa si tratta.
Il NIST è l’agenzia del governo USA che nello specifico si occupa della gestione delle tecnologie. La massima espressione di sicurezza e tecnologie connesse degli Stati Uniti. Ogni anno quest’agenzia pubblica un manuale chilometrico, considerato alla stregua di uno standard internazionale, con tutte le indicazioni per generare password praticamente inviolabili da chiunque.
In poche parole, se NIST comunica quali sono gli step da seguire per avere password sicure, noi ci fidiamo ciecamente e di seguito vi riportiamo quanto abbiamo appreso.
E quindi: password sicure orecchie ben aperte!
Sicurezza delle Password: ecco i 5 requisiti richiesti dal governo USA nel 2020
#1 Obbligare gli utenti a cambiare ciclicamente la password di accesso è un cambiamento estremamente rischioso.
Secondo NIST questa pratica è obsoleta e pressoché inutile. Questo perché l’utente medio non appena riceve la richiesta di cambio password, tende a scegliere una nuova password prevedibile o simile alla precedente. Ovvero: Password1, Password2, Password3 e via discorrendo. Per evitare dunque di mettere in pericolo l’accessibilità al vostro device, NIST suggerisce di non cambiare le password di accesso, a meno che, non si tratti di credenziali già violate.
#2 Lunghezza minima della password e caratteri accettati per una password sicura
Secondo NIST qualsiasi password dovrebbe essere di lunghezza compresa tra 8 e 64 caratteri inoltre, ogni carattere dovrebbe essere accettato.
Nella scelta della password più sicura dovrebbe essere lasciata all’utente la facoltà di inserire qualsiasi carattere, compresi anche i caratteri speciali come . , [ ( ) ] ‘ & ; ? \ : ; “. Oggi questo non accade, o almeno non per tutti.
#3 Stop alle domande di sicurezza: tecnica ormai sorpassata e da debellare secondo NIST e noi siamo pianamente d’accordo.
Vi è mai capitato di perdere la password di accesso e di dover “Rispondere alle domande di sicurezza“?
Chiamate hint tra gli informatici, sono una vera e propria calamita per l’insicurezza delle password.
Ne ricordate qualcuna? Vi rinfreschiamo la memoria:
- Qual era il cognome da nubile di tua madre?
- Qual era il nome della scuola elementare?
- Il nome del tuo primo animale?
- La tua squadra del cuore?
Sappiate che un hacker esperto in 10 tentativi riesce a trovare facilmente la risposta ad ognuna di esse.
#4 Funzione “copia-incolla” password e virtualizzazione in chiaro della password: una buona soluzione per la gestione di password sicure.
NIST consiglia fortemente ai servizi web di implementare queste due funzioni per la scelta delle password. Entrambi sono pratiche comode, ugualmente sicure per l’utente e lo agevolano nella scelta di password più complesse.
#5 Autenticazione multi-fattore o Autenticazione a due fattori: spesso sottovalutata e oggi più che mai consigliata da NIST
Il governo degli Stati Uniti consiglia alle aziende di implementare questo sistema di sicurezza password. Di che cosa si tratta? Si tratta di un applicazione per smartphone che genera automaticamente codici o password a tempo: un codice è formato in media da 5/6 cifre e ha una durata massima di 60 secondi. Scaduto il tempo la password non ha più valore.
Se siete interessati ad approfondire l’argomento Password Sicure vi consigliamo la lettura del faldone di documenti NIST SP (Standard Pubblication) 800 ed in particolare i documenti per fanno riferimento alla sicurezza delle password.
Ma se seguite alla lettera le istruzioni NIST che vi abbiamo riassunto in questo articolo per la sicurezza delle vostre password riuscirete finalmente a placare le cause di accesso di hacker ai vostri sistemi informatici e potrete finalmente lavorare con più serenità.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
