Proton
Iscriviti con RSS
password policy

Creare una politica delle password per la tua organizzazione

Condividi questa pagina

Le aziende stanno sempre più affrontando le conseguenze della cybercriminalità: il numero degli attacchi è in aumento(nuova finestra) e i danni causati crescono esponenzialmente. Una delle vulnerabilità più comuni per le organizzazioni sono le loro password. Poiché sono il tuo punto di ingresso in un account, sono anche il punto più debole della tua infrastruttura di sicurezza.

Il primo passo per proteggerle è avere password forti, e il modo migliore per imporlo è avere una solida politica delle password per il tuo team. Di seguito analizziamo quelli che riteniamo gli aspetti più importanti di qualsiasi buona politica delle password.

Usa password casuali con una lunghezza minima

La tua politica delle password dovrebbe chiarire che tutte le password devono essere completamente casuali — quindi create usando un generatore di password, non dalla mente umana. Questo perché in genere gli umani creano password facili da ricordare, piuttosto che difficili da attaccare. Di conseguenza, sono vulnerabili agli attacchi di forza bruta, in cui gli aggressori utilizzano software per “indovinare” le password degli utenti.

La casualizzazione non è l’unico modo per creare password forti. Un altro modo per aumentare la forza della password è semplicemente allungare la password, almeno 16 caratteri o più, anche se di più è meglio. Questo per rendere il compito più difficile agli hacker, poiché più lunga è la password, più lavoro devono fare per indovinarla.

Una nota sulle frasi segrete

Le password casuali presentano uno svantaggio: sono molto difficili da ricordare. Ci sono diversi modi per aggirare questo problema, ma il più semplice è scegliere un approccio che combina lunghezza della password e memorizzazione. Le frasi segrete sono perfette per questo.

Entriamo più nel dettaglio nel nostro articolo che confronta frasi segrete vs. password, ma in breve, le frasi segrete sono lunghe catene di parole facilmente memorizzabili, quindi qualcosa come becchino profusamente decente agevole. La lunghezza le rende difficili da violare, mentre sono ancora facili da ricordare. Una frase segreta è ottima per qualsiasi account, ma il caso d’uso principale è per sbloccare il tuo gestore di password, di cui parleremo più avanti.

Non riutilizzare mai le password

Un’altra cosa importante che dovrebbe essere parte di ogni politica delle password è che non si dovrebbero mai riutilizzare le password. Questo significa che ogni tuo account dovrebbe avere una password unica e non dovresti mai riciclare vecchie password. Per ogni nuovo account che crei, devi generare una nuova password casuale.

Il motivo è qualcosa chiamato credential stuffing, dove un hacker prende tutti gli accessi trapelati durante una grande violazione e prova centinaia di siti per vedere se funzionano anche lì. È un rischio serio, implicato anche in fughe di dati di alto profilo. In un caso, gli hacker hanno rubato le credenziali di un amministratore di Dropbox e poi le hanno usate per accedere alle pagine GitHub dell’azienda, causando ogni tipo di caos.

Questo tipo di attacco è molto comune, ma puoi renderlo insignificante a patto che tu non riutilizzi mai le password e che ti assicuri che nemmeno i membri del tuo team lo facciano.

Attiva l’autenticazione a due fattori (2FA)

Se le password proteggono i tuoi account, l’autenticazione a due fattori, meglio conosciuta come 2FA, può proteggere le tue password. Se la tua password è il primo fattore, il secondo fattore è un codice temporaneo, solitamente generato da un’app sul tuo telefono (ci sono varianti che usano SMS, ma non sono molto sicure(nuova finestra)). Quando accedi a un account, dovrai inserire sia la password che il codice dall’app 2FA.

Usare la 2FA significa che anche se qualcuno non autorizzato dovesse ottenere accesso alla tua password, avrebbe anche bisogno del telefono o di un altro dispositivo che ha l’app 2FA per accedere al tuo account. La 2FA è il modo migliore per difendersi dagli attacchi di phishing. È uno strumento potente, ma purtroppo sottoutilizzato.

Usa un gestore di password per garantire la conformità

Anche se una buona politica delle password può variare tra diversi team e aziende, questi elementi sono vitali per la sicurezza di qualsiasi organizzazione:

  • Password casuali
  • Password lunghe
  • Password uniche
  • 2FA

Naturalmente, questo porta a un altro problema, ovvero come gestirle tutte. Ricordare password lunghe e casuali è praticamente impossibile — dopotutto, è questa la loro forza — e tenerne traccia manualmente su un pezzo di carta non è sicuro.

Per assicurarti che il tuo team implementi effettivamente la tua politica delle password, avranno bisogno di un gestore di password, un software che può memorizzare le tue password per te.

Un buon gestore di password non solo memorizza le password, ma ha anche un generatore di password integrato per creare password casuali di qualsiasi lunghezza ogni volta che ne hai bisogno. Riempirà anche automaticamente le password ogni volta che accedi a un sito dove hai un account, rendendo i gestori di password non solo vitali per la sicurezza, ma un enorme miglioramento alla tua qualità digitale della vita.

I migliori gestori di password ti avviseranno anche quando duplichi le password tra gli account, così da non cadere nella trappola del riutilizzo delle password. Piuttosto che avere dozzine di vulnerabilità, ne hai solo una, e una passphrase ben utilizzata può fare un ottimo lavoro anche per proteggere quella.

Proton Pass e la tua politica delle password

Abbiamo sviluppato Proton Pass come un’alternativa di gestore di password che fa tutto quanto sopra, e anche di più. Non solo può gestire e generare password, ma ti diamo anche l’opzione di generare passphrase sicure, nel caso tu abbia bisogno di una password che sia più facile da ricordare. Ti suggerisce automaticamente e compila i campi mentre navighi, semplificando notevolmente la gestione degli account.

Proton Pass offre anche alla tua organizzazione sicurezza in altre forme, come attraverso i nostri alias di hide-my-email, che inseriscono un indirizzo email fittizio durante la creazione di un nuovo account online, offrendo un ulteriore strato di anonimato. Puoi anche abbonarti ai nostri piani avanzati e ottenere accesso a Proton Sentinel, un programma avanzato che aiuta a proteggerti dagli attacchi di phishing.

Soprattutto, Proton Pass for Business include il supporto 2FA integrato, rendendo molto più semplice per i membri del tuo team e per l’organizzazione nel suo insieme, adottare questo strumento di sicurezza fondamentale. Invece di dover gestire app ingombranti, tutti i tuoi strumenti sono nello stesso posto. Stessa sicurezza, molto meno complicazioni.

Proton Pass for Business è il compagno perfetto per qualsiasi politica di password su cui stai lavorando per il tuo team, permettendo ai tuoi colleghi di condividere in sicurezza i dettagli di accesso al lavoro. E puoi gestire i tuoi utenti dal pannello di amministrazione, così da poter concedere o revocare l’accesso come necessario, o imporre il 2FA. Se le nostre funzionalità suscitano il tuo interesse, inizia oggi stesso.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
  • Aggiornamenti dei prodotti
  • Proton Pass
Proton Pass product roadmap: Updates coming this winter/spring
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.