Proton
password policy

Le aziende stanno sempre più affrontando le conseguenze della cybercriminalità: il numero degli attacchi è in aumento(nuova finestra) e i danni causati crescono esponenzialmente. Una delle vulnerabilità più comuni per le organizzazioni sono le loro password. Poiché sono il tuo punto di ingresso in un account, sono anche il punto più debole della tua infrastruttura di sicurezza.

Il primo passo per proteggerle è avere password forti, e il modo migliore per imporlo è avere una solida politica delle password per il tuo team. Di seguito analizziamo quelli che riteniamo gli aspetti più importanti di qualsiasi buona politica delle password.

Usa password casuali con una lunghezza minima

La tua politica delle password dovrebbe chiarire che tutte le password devono essere completamente casuali — quindi create usando un generatore di password, non dalla mente umana. Questo perché in genere gli umani creano password facili da ricordare, piuttosto che difficili da attaccare. Di conseguenza, sono vulnerabili agli attacchi di forza bruta, in cui gli aggressori utilizzano software per “indovinare” le password degli utenti.

La casualizzazione non è l’unico modo per creare password forti. Un altro modo per aumentare la forza della password è semplicemente allungare la password, almeno 16 caratteri o più, anche se di più è meglio. Questo per rendere il compito più difficile agli hacker, poiché più lunga è la password, più lavoro devono fare per indovinarla.

Una nota sulle frasi segrete

Le password casuali presentano uno svantaggio: sono molto difficili da ricordare. Ci sono diversi modi per aggirare questo problema, ma il più semplice è scegliere un approccio che combina lunghezza della password e memorizzazione. Le frasi segrete sono perfette per questo.

Entriamo più nel dettaglio nel nostro articolo che confronta frasi segrete vs. password, ma in breve, le frasi segrete sono lunghe catene di parole facilmente memorizzabili, quindi qualcosa come becchino profusamente decente agevole. La lunghezza le rende difficili da violare, mentre sono ancora facili da ricordare. Una frase segreta è ottima per qualsiasi account, ma il caso d’uso principale è per sbloccare il tuo gestore di password, di cui parleremo più avanti.

Non riutilizzare mai le password

Un’altra cosa importante che dovrebbe essere parte di ogni politica delle password è che non si dovrebbero mai riutilizzare le password. Questo significa che ogni tuo account dovrebbe avere una password unica e non dovresti mai riciclare vecchie password. Per ogni nuovo account che crei, devi generare una nuova password casuale.

Il motivo è qualcosa chiamato credential stuffing, dove un hacker prende tutti gli accessi trapelati durante una grande violazione e prova centinaia di siti per vedere se funzionano anche lì. È un rischio serio, implicato anche in fughe di dati di alto profilo. In un caso, gli hacker hanno rubato le credenziali di un amministratore di Dropbox e poi le hanno usate per accedere alle pagine GitHub dell’azienda, causando ogni tipo di caos.

Questo tipo di attacco è molto comune, ma puoi renderlo insignificante a patto che tu non riutilizzi mai le password e che ti assicuri che nemmeno i membri del tuo team lo facciano.

Attiva l’autenticazione a due fattori (2FA)

Se le password proteggono i tuoi account, l’autenticazione a due fattori, meglio conosciuta come 2FA, può proteggere le tue password. Se la tua password è il primo fattore, il secondo fattore è un codice temporaneo, solitamente generato da un’app sul tuo telefono (ci sono varianti che usano SMS, ma non sono molto sicure(nuova finestra)). Quando accedi a un account, dovrai inserire sia la password che il codice dall’app 2FA.

Usare la 2FA significa che anche se qualcuno non autorizzato dovesse ottenere accesso alla tua password, avrebbe anche bisogno del telefono o di un altro dispositivo che ha l’app 2FA per accedere al tuo account. La 2FA è il modo migliore per difendersi dagli attacchi di phishing. È uno strumento potente, ma purtroppo sottoutilizzato.

Usa un gestore di password per garantire la conformità

Anche se una buona politica delle password può variare tra diversi team e aziende, questi elementi sono vitali per la sicurezza di qualsiasi organizzazione:

  • Password casuali
  • Password lunghe
  • Password uniche
  • 2FA

Naturalmente, questo porta a un altro problema, ovvero come gestirle tutte. Ricordare password lunghe e casuali è praticamente impossibile — dopotutto, è questa la loro forza — e tenerne traccia manualmente su un pezzo di carta non è sicuro.

Per assicurarti che il tuo team implementi effettivamente la tua politica delle password, avranno bisogno di un gestore di password, un software che può memorizzare le tue password per te.

Un buon gestore di password non solo memorizza le password, ma ha anche un generatore di password integrato per creare password casuali di qualsiasi lunghezza ogni volta che ne hai bisogno. Riempirà anche automaticamente le password ogni volta che accedi a un sito dove hai un account, rendendo i gestori di password non solo vitali per la sicurezza, ma un enorme miglioramento alla tua qualità digitale della vita.

I migliori gestori di password ti avviseranno anche quando duplichi le password tra gli account, così da non cadere nella trappola del riutilizzo delle password. Piuttosto che avere dozzine di vulnerabilità, ne hai solo una, e una passphrase ben utilizzata può fare un ottimo lavoro anche per proteggere quella.

Proton Pass e la tua politica delle password

Abbiamo sviluppato Proton Pass come un’alternativa di gestore di password che fa tutto quanto sopra, e anche di più. Non solo può gestire e generare password, ma ti diamo anche l’opzione di generare passphrase sicure, nel caso tu abbia bisogno di una password che sia più facile da ricordare. Ti suggerisce automaticamente e compila i campi mentre navighi, semplificando notevolmente la gestione degli account.

Proton Pass offre anche alla tua organizzazione sicurezza in altre forme, come attraverso i nostri alias di hide-my-email, che inseriscono un indirizzo email fittizio durante la creazione di un nuovo account online, offrendo un ulteriore strato di anonimato. Puoi anche abbonarti ai nostri piani avanzati e ottenere accesso a Proton Sentinel, un programma avanzato che aiuta a proteggerti dagli attacchi di phishing.

Soprattutto, Proton Pass for Business include il supporto 2FA integrato, rendendo molto più semplice per i membri del tuo team e per l’organizzazione nel suo insieme, adottare questo strumento di sicurezza fondamentale. Invece di dover gestire app ingombranti, tutti i tuoi strumenti sono nello stesso posto. Stessa sicurezza, molto meno complicazioni.

Proton Pass for Business è il compagno perfetto per qualsiasi politica di password su cui stai lavorando per il tuo team, permettendo ai tuoi colleghi di condividere in sicurezza i dettagli di accesso al lavoro. E puoi gestire i tuoi utenti dal pannello di amministrazione, così da poter concedere o revocare l’accesso come necessario, o imporre il 2FA. Se le nostre funzionalità suscitano il tuo interesse, inizia oggi stesso.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.