Sicurezza Password aziendali: 5 consigli per renderle inviolabili

Imprenditori di tutta Italia, state in campana!

Sono uscite le nuove direttive del NIST in materia di sicurezza delle password ed è arrivato il momento di adeguarsi.

Ma prima, un passo indietro!

Parlare di NIST in ambito Sicurezza Informatica è esattamente come parlare di Barilla nel settore Food. Se con questo paragone ancora non avessimo reso bene l’idea dell’attendibilità della fonte vi spieghiamo meglio di cosa si tratta.

Il NIST è l’agenzia del governo USA che nello specifico si occupa della gestione delle tecnologie. La massima espressione di sicurezza e tecnologie connesse degli Stati Uniti. Ogni anno quest’agenzia pubblica un manuale chilometrico, considerato alla stregua di uno standard internazionale, con tutte le indicazioni per generare password praticamente inviolabili da chiunque.

In poche parole, se NIST comunica quali sono gli step da seguire per avere password sicure, noi ci fidiamo ciecamente e di seguito vi riportiamo quanto abbiamo appreso.

E quindi: Password Sicure 2020 orecchie ben aperte!

Obbligare gli utenti a cambiare ciclicamente la password di accesso è estremamente rischioso.

Secondo NIST questa pratica è obsoleta e pressoché inutile. Questo perché l’utente medio non appena riceve la richiesta di cambio password, tende a scegliere una nuova password prevedibile o simile alla precedente. Ovvero: Password1, Password2, Password3 e via discorrendo.

Per evitare dunque di mettere in pericolo l’accessibilità al vostro device, NIST suggerisce di non cambiare le password di accesso, a meno che, non si tratti di credenziali già violate.

Lunghezza della password e caratteri accettati

Secondo NIST qualsiasi password dovrebbe essere di lunghezza compresa tra 8 e 64 caratteri inoltre, ogni carattere dovrebbe essere accettato. Nella scelta della password più sicura dovrebbe essere lasciata all’utente la facoltà di inserire qualsiasi carattere, compresi anche i caratteri speciali come . , [ ( ) ] ‘ & ; ? \ : ; “

Oggi questo non accade, o almeno non per tutti!

Stop alle domande di sicurezza: tecnica ormai sorpassata e da debellare secondo NIST e noi siamo pianamente d’accordo

Vi è mai capitato di perdere la password di accesso e di dover “Rispondere alle domande di sicurezza“? Chiamate hint tra gli informatici, sono una vera e propria calamita per l’insicurezza. Ne ricordate qualcuna? Vi rinfreschiamo la memoria noi:

• Qual era il cognome da nubile di tua madre?
• Qual era il nome della scuola elementare?
• Il nome del tuo primo animale?
• La tua squadra del cuore?

Sappiate che un hacker esperto in 10 tentativi riesce a trovare facilmente la risposta ad ognuna di esse.

Funzione “copia-incolla” password e virtualizzazione in chiaro della password: yes please!

NIST consiglia fortemente ai servizi web di implementare queste due funzioni per la scelta delle password. Entrambi sono pratiche comode, ugualmente sicure per l’utente e lo agevolano nella scelta di password più complesse.

Autenticazione multi-fattore o Autenticazione a due fattori: spesso sottovalutata e oggi più che mai consigliata da NIST

Il governo degli Stati Uniti consiglia alle aziende di implementare questo sistema di sicurezza password. Di che cosa si tratta? Si tratta di un applicazione per smartphone che genera automaticamente codici o password a tempo: un codice è formato in media da 5/6 cifre e ha una durata massima di 60 secondi. Scaduto il tempo la password non ha più valore.

Se siete interessati ad approfondire l’argomento Password Sicure vi consigliamo la lettura dell’intero faldone di documenti NIST SP (Standard Pubblication) 800 ed in particolare i documenti per fanno riferimento alla sicurezza delle password, vi inseriamo il link qui.

Ma se seguite alla lettera le istruzioni NIST che vi abbiamo riassunto in questo articolo per la sicurezza delle vostre password riuscirete finalmente a placare le cause di accesso di hacker ai vostri sistemi informatici e potrete finalmente lavorare con più serenità.