Una policy sulle password dovrebbe rendere più difficile la compromissione degli account senza rendere inutilmente complicato il comportamento sicuro. Le migliori policy sono chiare, pratiche e in linea con il modo in cui le persone lavorano realmente. Favoriscono password lunghe e uniche, supportano i password manager, richiedono l'autenticazione a più fattori (MFA) dove opportuno e rimuovono regole obsolete che inducono gli utenti ad adottare comportamenti prevedibili.
Questo articolo spiega cosa fare e cosa evitare in una moderna policy sulle password, quali errori evitare, le migliori pratiche da seguire e offre un modello pronto all'uso da adattare per la tua organizzazione.
Cos'è una policy sulle password?
Una policy sulle password è un insieme di regole che definisce come le password vengono create, conservate, utilizzate, condivise, cambiate e protette. Si applica a dipendenti, collaboratori esterni, amministratori, account di servizio e, a volte, ai clienti, a seconda dei sistemi coinvolti.
Una buona policy sulle password dovrebbe rispondere a domande pratiche:
- Quanto devono essere lunghe le password?
- Sono consentite le passphrase?
- Gli utenti possono incollare password da un password manager?
- Quando è necessario cambiare una password?
- È richiesta l'autenticazione a più fattori?
- Come vengono gestite le credenziali condivise?
- Cosa succede se una password si sospetta sia stata compromessa?
L'obiettivo non è creare l'insieme di regole più complicato. L'obiettivo è ridurre il rischio reale.
Cosa fare in una moderna policy sulle password
Richiedere una lunghezza sufficiente
La lunghezza è una delle difese più efficaci contro gli attacchi di indovinamento e forza bruta. Un unico requisito minimo valido per tutta l'organizzazione è spesso più facile da comprendere per le persone e da applicare per i team IT rispetto a regole diverse per utenti standard, amministratori e casi speciali. Un valore pratico di riferimento è richiedere almeno 16 caratteri per tutti gli account con utenti umani. Ancora meglio se si usano password manager o passphrase generate casualmente.
Consentire password lunghe e passphrase
Gli utenti dovrebbero poter creare password molto più lunghe del minimo richiesto. Evita limiti massimi bassi, come 16 o 20 caratteri. Un limite massimo di almeno 64 caratteri è un buon punto di partenza, e molti sistemi possono supportare senza problemi una lunghezza maggiore.
Le passphrase sono consentite se sono lunghe e non basate su citazioni comuni, testi di canzoni, nomi aziendali o frasi prevedibili. Ad esempio, una passphrase composta da più parole casuali è di solito migliore di una password corta con sostituzioni forzate.
Richiedere unicità
Ogni account dovrebbe avere una password unica. Il riutilizzo delle password è uno dei motivi principali per cui una violazione su un servizio può portare alla compromissione di account su altri servizi. Utilizzare un password manager rende pratico avere password uniche, perché gli utenti non devono ricordarle tutte a memoria.
Supportare i password manager
La tua policy dovrebbe esplicitamente consentire e incoraggiare l'utilizzo di password manager approvati. Gli utenti dovrebbero poter incollare le password nei campi di login, usare il riempimento automatico e generare password casuali. Bloccare la funzione incolla può sembrare protettivo, ma spesso scoraggia l'uso di password manager sicuri.
Controllare le password rispetto a quelle già compromesse
Le password dovrebbero essere rifiutate se appaiono in elenchi di violazioni noti, in elenchi di password comunemente usate o in liste di negazione specifiche dell'organizzazione. Questo è molto più efficace che costringere gli utenti a inserire una lettera maiuscola, un numero e un simbolo.
Richiedere MFA ovunque tecnicamente possibile
L'autenticazione a più fattori deve essere abilitata ovunque sia tecnicamente possibile, specialmente per amministratori, accesso remoto, servizi cloud, email, password manager, sistemi finanziari e altri sistemi critici. La MFA non sostituisce password forti, ma riduce l'impatto di credenziali rubate.
Preferisci MFA resistente al phishing, come passkey, chiavi di sicurezza hardware o autenticatore di piattaforma. Le app di autenticazione sono generalmente preferibili agli SMS. La MFA via SMS non deve essere usata se è tecnicamente possibile qualsiasi altro metodo, perché i numeri di telefono possono essere intercettati, oggetto di SIM swap, trasferiti o sfruttati tramite processi di recupero account.
Non è solo teoria. Nel 2018, Reddit ha rivelato che degli attaccanti hanno intercettato l'autenticazione a due fattori via SMS accedendo a sistemi interni: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. Nel 2021, Coinbase ha riferito che degli attaccanti hanno rubato criptovalute da almeno 6.000 clienti abusando di credenziali e di una debolezza nel processo SMS di recupero account di Coinbase: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Cambiare le password dopo una compromissione
Le password devono essere cambiate quando ci sono prove o ragionevoli sospetti di compromissione. Esempi: phishing, malware sul dispositivo di un utente, esposizione delle credenziali in una violazione, attività di login sospetta o divulgazione accidentale.
Proteggere correttamente le credenziali condivise
Le password condivise dovrebbero essere evitate quando è possibile usare account individuali. Se le credenziali condivise sono indispensabili, devono essere conservate in un password manager approvato, l'accesso deve essere limitato agli utenti autorizzati e la condivisione andrebbe tracciata dove possibile.
Rendere sicuri i processi di reset delle password
Il reset della password è spesso il punto più debole della sicurezza dell'account. I workflow di reset devono verificare l'identità, far scadere rapidamente i link di reset, utilizzare token monouso e notificare gli utenti quando la password viene cambiata.
Cosa evitare in una moderna policy sulle password
Non forzare cambi frequenti senza motivo
Obbligare a cambiare password ogni 30, 60 o 90 giorni spesso porta a password più deboli. Gli utenti tendono a fare modifiche minime e prevedibili, come aggiungere un numero o cambiare la stagione. Le Digital Identity Guidelines del NIST abbandonano il cambio periodico di routine, prevedendo il cambio della password solo in caso di prova di compromissione. Vedi sezione 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Richiedi il cambio della password dopo sospette compromissioni, cambio di ruolo, recupero account o quando la password non soddisfa più la policy.
Non affidarti solo alle regole di complessità
Regole come "deve includere maiuscola, minuscola, numero e simbolo" non garantiscono in sé la robustezza. Password1! rispetta molte regole di complessità ma è comunque debole. Dai priorità a lunghezza, unicità, casualità e controllo rispetto alle violazioni.
Non bloccare copia e incolla
Bloccare la funzione incolla rende più difficile usare i password manager. Spesso spinge gli utenti verso password più corte, più facili da digitare. Consenti incolla e riempimento automatico, a meno che un motivo di sicurezza documentato lo vieti.
Non consentire suggerimenti per le password
I suggerimenti spesso rivelano troppo. Se un utente riesce a ricordare la password dal suggerimento, anche un attaccante potrebbe riuscirci. Usa invece processi sicuri di reset.
Non memorizzare le password in chiaro
I sistemi non devono mai conservare le password in chiaro o utilizzando cifratura reversibile. Le password vanno cifrate con un algoritmo moderno, lento e con salt come Argon2id, bcrypt, scrypt o PBKDF2, a seconda delle capacità di sistema e dei requisiti normativi.
Gli hash generici veloci come MD5, SHA-1, SHA-256 o SHA-512 non sono adatti come hashing delle password. Sono progettati per essere rapidi, facilitando gli attacchi offline dopo una fuga di dati. Per maggiori dettagli, leggi il nostro articolo sull’evoluzione dell’hashing delle password.
Non condividere password in chat o email
Le password non devono essere inviate tramite email, chat, ticket, documenti o screenshot. Usa un password manager con condivisione sicura e controlli sugli accessi.
Non utilizzare informazioni personali o schemi prevedibili
Le password non devono contenere nomi, date di nascita, nomi aziendali, sequenze della tastiera, caratteri ripetuti o sostituzioni comuni come @ per a e 0 per o. Gli attaccanti testano questi schemi per primi.
Best Practice per le organizzazioni
Definire requisiti minimi chiari
Utilizza requisiti facili da comprendere:
- Un unico valore di lunghezza minima, per esempio 16 caratteri per tutti gli account con utenti umani
- Consentire almeno 64 caratteri
- Consentire spazi e simboli comuni
- Consentire passphrase e password manager
- Rifiutare password già compromesse e comunemente usate
Gestire diversamente gli account privilegiati
Account amministratore, di servizio e accessi in produzione meritano controlli più severi. Richiedi password più robuste, MFA, accesso limitato, monitoraggio e rotazione immediata al cambio di accesso.
Usare accessi basati sul ruolo e il principio del minimo privilegio
Password robuste non compensano permessi eccessivi. Gli utenti dovrebbero accedere solo ai sistemi e alle informazioni necessari alle loro mansioni.
Monitorare attività sospette
Rileva pattern di accesso insoliti, viaggi impossibili, tentativi falliti ripetuti, accessi da nuovi paesi e fuori dagli orari di lavoro abituali. La policy sulle password deve essere supportata da monitoraggio e risposta agli incidenti.
Formare gli utenti sulle minacce reali
La formazione dovrebbe concentrarsi su riutilizzo delle password, phishing, pagine di accesso false, fatica da MFA, condivisione sicura e come segnalare sospette compromissioni. Evita di colpevolizzare l’utente. Rendi sicuro il comportamento facilitandolo.
Mantieni la policy breve e comprensibile
Una policy sulle password deve essere comprensibile. Se è troppo lunga, vaga o severa, le persone cercheranno di aggirarla. La miglior policy è quella che può veramente essere applicata e seguita.
Modello di policy sulle password pronto all’uso
Usa il seguente modello come punto di partenza. Adatta le sezioni tra parentesi quadre per farle combaciare con la tua organizzazione, i sistemi, il livello di rischio e i requisiti legali.
Policy sulle Password
Versione: [1.0]
Proprietario: [Dipartimento Sicurezza / IT]
Data di validità: [AAAA-MM-GG]
Ciclo di revisione: [Ogni 12 mesi]
1. Scopo
Questa policy definisce i requisiti per la creazione, l’utilizzo, la conservazione, la condivisione e il cambio di password per [Nome Organizzazione]. Lo scopo è ridurre il rischio di accessi non autorizzati, furto di credenziali, compromissione di account e perdita di dati.
2. Ambito di applicazione
Questa policy si applica a tutti i dipendenti, collaboratori, personale temporaneo, fornitori di servizi e a qualunque altro utente con accesso a sistemi, applicazioni, reti, servizi cloud o dati di [Nome Organizzazione].
Questa policy si applica ad account utente standard, account privilegiati, account di servizio, account condivisi e qualsiasi sistema dove le password vengono utilizzate per l'autenticazione.
3. Requisiti di creazione delle password
Tutte le password devono rispettare i seguenti requisiti:
- Gli account utente devono utilizzare password di almeno 16 caratteri.
- Le password devono essere uniche e non riutilizzate tra ambito lavorativo e personale.
- Le password non devono contenere nomi, username, nomi aziendali, date di nascita, schemi della tastiera, caratteri ripetuti o altre informazioni facilmente indovinabili.
- Le password non devono essere basate su frasi comuni, citazioni, testi musicali o sostituzioni prevedibili.
- Le password non devono comparire in elenchi di password compromesse note o in elenchi di password comuni.
- Le password possono includere spazi, simboli, numeri, lettere maiuscole e minuscole.
- Le passphrase sono consentite se lunghe, uniche e non basate su frasi prevedibili o pubbliche.
4. Gestione delle password
[Nome Organizzazione] richiede o raccomanda fortemente l’uso di un password manager approvato sia per creare, conservare che condividere password.
Gli utenti possono utilizzare generatore, riempimento automatico e funzionalità di copia-incolla dal password manager approvato. Le password non devono essere conservate in browser, fogli di calcolo, documenti, applicazioni di note, email, messaggi chat, screenshot o strumenti non approvati.
5. Autenticazione a più fattori (MFA)
La MFA deve essere abilitata ovunque tecnicamente possibile, inclusi ma non limitati a:
- Account email
- Sistemi di accesso remoto
- Account del password manager
- Servizi cloud
- Account amministrativi
- Sistemi finanziari, HR e altri sistemi critici
- Qualsiasi sistema classificato come [confidenziale / critico]
Dove disponibile, gli utenti devono usare MFA resistente al phishing come passkey, chiavi di sicurezza hardware o autenticatore di piattaforma. Sono preferite le app di autenticazione rispetto agli SMS. La MFA via SMS è vietata se è tecnicamente possibile utilizzare altro tipo di MFA più sicuro e può essere usata solo quando non è tecnicamente disponibile un’opzione più forte.
6. Cambio password
Le password devono essere cambiate immediatamente quando:
- Una password è nota o sospetta come compromessa.
- Un utente inserisce una password su un sito sospetto di phishing.
- Una password è stata condivisa con una persona non autorizzata.
- Si rileva malware o accesso non autorizzato su un dispositivo dell’utente.
- Una password appare in una violazione nota.
- Cambia il ruolo o lo stato lavorativo di un utente privilegiato.
- IT o Security istruiscono l’utente a cambiarla.
La scadenza periodica delle password non è richiesta, salvo ove imposta da leggi, regolamenti, contratti o limiti di sistema. Le password non devono essere cambiate con modifiche minime e prevedibili alla precedente.
7. Condivisione delle password
Le password non devono essere condivise tramite email, chat, ticket, documenti, screenshot, telefonate o comunicazioni verbali.
Le credenziali condivise sono consentite solo dove account individuali non siano tecnicamente possibili o quando esplicitamente approvate da [Sicurezza / IT]. Tali credenziali devono essere conservate e condivise tramite il password manager approvato con accesso limitato agli utenti autorizzati.
8. Account privilegiati
Gli account privilegiati devono avere password uniche non utilizzate per account utente standard. Devono utilizzare MFA ove tecnicamente possibile e vanno revisionati regolarmente.
Le password privilegiate vanno ruotate al termine del rapporto dell’amministratore, ad ogni cambio ruolo, in caso di mancata necessità d’accesso o se si sospetta compromissione.
9. Account di servizio e segreti applicativi
Le password degli account di servizio, le API key, i token e i segreti delle applicazioni devono essere conservati in un sistema di gestione dei segreti approvato o in un password manager approvato.
Le credenziali degli account di servizio non devono essere inserite in codice sorgente, file di configurazione, immagini, documentazione o script a meno che non siano protette da un processo di gestione dei segreti approvato.
10. Reset password e recupero account
I processi di reset delle password devono verificare l’identità dell’utente prima di ripristinare l’accesso. I link di reset e le password temporanee devono essere monouso, avere una scadenza breve ed essere trasmessi tramite canali approvati.
Gli utenti devono essere avvisati quando la password è stata cambiata o reimpostata. Le password temporanee vanno cambiate al primo login.
11. Controlli tecnici
I sistemi che conservano o gestiscono password devono:
- Non memorizzare mai le password in chiaro.
- Utilizzare hashing con algoritmi moderni hash con salt approvati: PBKDF2, scrypt, bcrypt o Argon2.
- Non utilizzare MD5, SHA-1, SHA-256, SHA-512 o altri hash generici veloci come algoritmo di hashing delle password.
- Proteggere i punti di accesso all’autenticazione con rate limiting o controlli equivalenti.
- Rifiutare password comuni, deboli e già compromesse.
- Consentire agli utenti di incollare le password dai password manager.
- Supportare una lunghezza sufficiente delle password, inclusi almeno 64 caratteri dove tecnicamente possibile.
- Registrare eventi di autenticazione rilevanti per la sicurezza.
12. Segnalazione di compromissione sospetta
Gli utenti devono segnalare immediatamente a [contatto Sicurezza / IT] casi sospetti di compromissione password, phishing, prompt di accesso insoliti, richieste MFA che non hanno iniziato o divulgazione accidentale della password.
13. Eccezioni
Le eccezioni a questa policy devono essere documentate, valutate in termini di rischio, temporalmente limitate e approvate da [responsabili Sicurezza / IT]. Devono essere applicati controlli compensativi ove possibile.
14. Applicazione
Il mancato rispetto di questa policy può comportare la rimozione dell’accesso, formazione obbligatoria sulla sicurezza, provvedimenti disciplinari o altre misure coerenti con le policy di [Nome Organizzazione] e le normative applicabili.
15. Revisione
Questa policy deve essere revisionata almeno annualmente o dopo cambiamenti significativi a sistemi, minacce, requisiti legali o operazioni aziendali.
Considerazioni finali
Una policy sulle password efficace non deve rendere l’uso delle password doloroso. Deve servire a eliminare cattive abitudini, favorire password manager, utilizzare la MFA e reagire rapidamente quando le credenziali sono esposte. Mantieni la policy pratica, applicabile e focalizzata su reali minacce come phishing, credential stuffing, riutilizzo password e account compromessi.
