Le password sono la chiave di accesso per quasi tutto per quasi tutti i servizi che utilizziamo quotidianamente. Di conseguenza, avere dei criteri per password rigidi è la prima linea di difesa di un'organizzazione contro gli intrusi.
Il criterio predefinito per le password di dominio si trova nel seguente oggetto Criteri di gruppo (GPO): Computer configuration -> Policies -> Windows Settings ->Security Settings -> Account Policies -> Password Policy.
A partire dal Functional Level Windows Server 2008, è possibile definire criteri più granulari per le diverse unità organizzative (OU) utilizzando Active Directory Administrative Center (DSAC) o PowerShell.
Il National Institute of Standards and Technology (NIST), agenzia americana tra le più autorevoli in ambito informatico, fornisce delle linee guida per garantire che le password scelte dalle aziende siano in grado di proteggere l'identità digitale.
Le ultime raccomandazioni pubblicate risalgono al 2021 e sonon contenute nella Special Publication 800-63B. Il documento è considerato il gold standard per la sicurezza delle password e deve essere seguito da tutte le aziende e da tutti gli individui che vogliono garantire la sicurezza dei loro account e dei loro dati personali.
Reset delle password
In genere gli esseri umani non sono bravi a creare le password, quindi obbligare i dipendenti a cambiarle regolarmente risulta controproducente. Le precedenti linee guida del NIST raccomandavano di obbligare gli utenti a cambiare le password ogni 90 giorni (180 giorni per le passphrase). Tuttavia, cambiare le password troppo spesso irrita gli utenti e di solito li spinge a riutilizzare le vecchie password o a usare schemi prevedibili per la loro creazione, danneggiando la sicurezza delle informazioni.
Pertanto, l'attuale raccomandazione del NIST suggerisce di chiedere ai dipendenti di cambiare password solo in caso di potenziale minaccia o di sospetto accesso non autorizzato.
Limitare il numero di possibili tentativi falliti
Gli attacchi Brute Force per indovinare le password hanno maggiori probabilità di successo se non vengono posti limiti al numero di tentativi di accesso falliti possibili. Impostando il blocco dell'account dopo 3 o 5 tentativi di password falliti, questi tipi di attacco saranno più difficili perché l'attaccante avrà meno chances di indovinare la password.
Implementare l'autenticazione a 2 fattori
Assicuratevi che la 2-factor Authentication sia implementata sugli account. Questo richiede un ulteriore metodo di identificazione oltre alla sola password, come l'invio di un codice OTP tramite SMS o app dedicata. Se la password viene compromessa, ad esempio a causa di un Data Breach, l'accesso all'account non sarà possibile senza essere in possesso del secondo fattore di autenticazione.
Utilizzare un Password Manager
I Password Manager sono applicazioni che generano nuove password casuali per ciascun portale d'accesso e memorizzano queste credenziali in un database sicuro crittografato. È fortmente consigliato l'utilizzo di un gestore di password per aiutare i dipendenti a generare password robuste, eliminando inoltre la necessità di doverele imparare a memoria. I migliori gestori sono in grado di inserire automaticamente le credenziali di accesso all'interno di siti ed applicazioni. In più, alcuni di essi, permettono di sapere se le password esistenti sono deboli, riutilizzate o sono state oggetto di una violazione dei dati.
Le linee guida NIST sulle password vengono aggiornate regolarmente per restare al passo con un settore, quello informatico, in continua evoluzione. Assicurasi di essere conformi a tali direttive è il primo passo per la protezione delle informazioni sensibili della vostra azienda.