ProtonBlog(new window)
Iscriviti con RSS
password policy

Creare una politica delle password per la tua organizzazione

Condividi questa pagina

Le aziende stanno sempre più affrontando le conseguenze della cybercriminalità: il numero degli attacchi è in aumento(new window) e i danni causati crescono esponenzialmente. Una delle vulnerabilità più comuni per le organizzazioni sono le loro password. Poiché sono il tuo punto di ingresso in un account, sono anche il punto più debole della tua infrastruttura di sicurezza.

Il primo passo per proteggerle è avere password forti, e il modo migliore per imporlo è avere una solida politica delle password per il tuo team. Di seguito analizziamo quelli che riteniamo gli aspetti più importanti di qualsiasi buona politica delle password.

Usa password casuali con una lunghezza minima

La tua politica delle password dovrebbe chiarire che tutte le password devono essere completamente casuali — quindi create usando un generatore di password, non dalla mente umana. Questo perché in genere gli umani creano password facili da ricordare, piuttosto che difficili da attaccare. Di conseguenza, sono vulnerabili agli attacchi di forza bruta, in cui gli aggressori utilizzano software per “indovinare” le password degli utenti.

La casualizzazione non è l’unico modo per creare password forti(new window). Un altro modo per aumentare la forza della password(new window) è semplicemente allungare la password(new window), almeno 16 caratteri o più, anche se di più è meglio. Questo per rendere il compito più difficile agli hacker, poiché più lunga è la password, più lavoro devono fare per indovinarla.

Una nota sulle frasi segrete

Le password casuali presentano uno svantaggio: sono molto difficili da ricordare. Ci sono diversi modi per aggirare questo problema, ma il più semplice è scegliere un approccio che combina lunghezza della password e memorizzazione. Le frasi segrete sono perfette per questo.

Entriamo più nel dettaglio nel nostro articolo che confronta frasi segrete vs. password(new window), ma in breve, le frasi segrete sono lunghe catene di parole facilmente memorizzabili, quindi qualcosa come becchino profusamente decente agevole. La lunghezza le rende difficili da violare, mentre sono ancora facili da ricordare. Una frase segreta è ottima per qualsiasi account, ma il caso d’uso principale è per sbloccare il tuo gestore di password, di cui parleremo più avanti.

Non riutilizzare mai le password

Un’altra cosa importante che dovrebbe essere parte di ogni politica delle password è che non si dovrebbero mai riutilizzare le password. Questo significa che ogni tuo account dovrebbe avere una password unica e non dovresti mai riciclare vecchie password. Per ogni nuovo account che crei, devi generare una nuova password casuale.

Il motivo è qualcosa chiamato credential stuffing, dove un hacker prende tutti gli accessi trapelati durante una grande violazione e prova centinaia di siti per vedere se funzionano anche lì. È un rischio serio, implicato anche in fughe di dati di alto profilo. In un caso, gli hacker hanno rubato le credenziali di un amministratore di Dropbox e poi le hanno usate per accedere alle pagine GitHub dell’azienda, causando ogni tipo di caos.

Questo tipo di attacco è molto comune, ma puoi renderlo insignificante a patto che tu non riutilizzi mai le password e che ti assicuri che nemmeno i membri del tuo team lo facciano.

Attiva l’autenticazione a due fattori (2FA)

Se le password proteggono i tuoi account, l’autenticazione a due fattori(new window), meglio conosciuta come 2FA, può proteggere le tue password. Se la tua password è il primo fattore, il secondo fattore è un codice temporaneo, solitamente generato da un’app sul tuo telefono (ci sono varianti che usano SMS, ma non sono molto sicure(new window)). Quando accedi a un account, dovrai inserire sia la password che il codice dall’app 2FA.

Usare la 2FA significa che anche se qualcuno non autorizzato dovesse ottenere accesso alla tua password, avrebbe anche bisogno del telefono o di un altro dispositivo che ha l’app 2FA per accedere al tuo account. La 2FA è il modo migliore per difendersi dagli attacchi di phishing(new window). È uno strumento potente, ma purtroppo sottoutilizzato.

Usa un gestore di password per garantire la conformità

Anche se una buona politica delle password può variare tra diversi team e aziende, questi elementi sono vitali per la sicurezza di qualsiasi organizzazione:

  • Password casuali
  • Password lunghe
  • Password uniche
  • 2FA

Naturalmente, questo porta a un altro problema, ovvero come gestirle tutte. Ricordare password lunghe e casuali è praticamente impossibile — dopotutto, è questa la loro forza — e tenerne traccia manualmente su un pezzo di carta non è sicuro.

Per assicurarti che il tuo team implementi effettivamente la tua politica delle password, avranno bisogno di un gestore di password, un software che può memorizzare le tue password per te.

Un buon gestore di password non solo memorizza le password, ma ha anche un generatore di password integrato per creare password casuali di qualsiasi lunghezza ogni volta che ne hai bisogno. Riempirà anche automaticamente le password ogni volta che accedi a un sito dove hai un account, rendendo i gestori di password non solo vitali per la sicurezza, ma un enorme miglioramento alla tua qualità digitale della vita.

I migliori gestori di password ti avviseranno anche quando duplichi le password tra gli account, così da non cadere nella trappola del riutilizzo delle password. Piuttosto che avere dozzine di vulnerabilità, ne hai solo una, e una passphrase ben utilizzata può fare un ottimo lavoro anche per proteggere quella.

Proton Pass e la tua politica delle password

Abbiamo sviluppato Proton Pass come un’alternativa di gestore di password che fa tutto quanto sopra, e anche di più. Non solo può gestire e generare password, ma ti diamo anche l’opzione di generare passphrase sicure, nel caso tu abbia bisogno di una password che sia più facile da ricordare. Ti suggerisce automaticamente e compila i campi mentre navighi, semplificando notevolmente la gestione degli account.

Proton Pass offre anche alla tua organizzazione sicurezza in altre forme, come attraverso i nostri alias di hide-my-email, che inseriscono un indirizzo email fittizio durante la creazione di un nuovo account online, offrendo un ulteriore strato di anonimato. Puoi anche abbonarti ai nostri piani avanzati e ottenere accesso a Proton Sentinel(new window), un programma avanzato che aiuta a proteggerti dagli attacchi di phishing.

Soprattutto, Proton Pass for Business include il supporto 2FA integrato, rendendo molto più semplice per i membri del tuo team e per l’organizzazione nel suo insieme, adottare questo strumento di sicurezza fondamentale. Invece di dover gestire app ingombranti, tutti i tuoi strumenti sono nello stesso posto. Stessa sicurezza, molto meno complicazioni.

Proton Pass for Business è il compagno perfetto per qualsiasi politica di password su cui stai lavorando per il tuo team, permettendo ai tuoi colleghi di condividere in sicurezza i dettagli di accesso al lavoro. E puoi gestire i tuoi utenti dal pannello di amministrazione, così da poter concedere o revocare l’accesso come necessario, o imporre il 2FA. Se le nostre funzionalità suscitano il tuo interesse, inizia oggi stesso.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

en
Data breaches are increasingly common. Whenever you sign up for an online service, you provide it with personal information that’s valuable to hackers, such as email addresses, passwords, phone numbers, and more. Unfortunately, many online services f
Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le