La tua organizzazione non può più permettersi di lasciare la sicurezza delle password ai singoli membri del team. Nonostante le migliori intenzioni, le persone tendono ad adottare abitudini comode ma rischiose, come salvare le credenziali nei browser, nei fogli di calcolo o in note adesive.
Una policy per le password efficace stabilisce uno standard chiaro e applicabile su come le password vengono create, archiviate, condivise, revisionate e protette in tutta l’organizzazione. Una policy moderna riduce i rischi legati alle credenziali, supporta la conformità e conferisce coerenza alla sicurezza degli accessi tra sistemi, team e flussi di lavoro.
Non è un aspetto che le aziende possono permettersi di ignorare. Il Data Breach Investigations Report 2025 di Verizon ha rilevato che l’abuso di credenziali è responsabile del 22% dei principali vettori di attacco iniziali nelle violazioni confermate. Il costo di una scarsa sicurezza delle credenziali si riflette anche in interruzioni operative, esposizione normativa, danni alla reputazione e nei lunghi tempi di inattività che seguono mentre i team cercano di recuperare l’accesso perso o compromesso.
Oltre a creare una policy per le password, la tua organizzazione ha bisogno di sistemi e strumenti che rendano facile l’adozione di abitudini sicure. Le regole non bastano a garantire la sicurezza operativa perché, dove c’è attrito, anche i professionisti con le migliori intenzioni prenderanno delle scorciatoie. L’obiettivo è rendere l’igiene delle password il percorso di minor resistenza.
Il modello di policy per le password qui sotto può aiutare la tua azienda a restare aggiornata sulle attuali best practice e sulle linee guida allineate al NIST. Puoi adattarlo in una policy interna, in un manuale di sicurezza o in un controllo di governance per le organizzazioni che necessitano di qualcosa di più pratico rispetto a consigli generali.
Modello di policy per le password (esempio)
| Sezione | Requisiti della Policy (esempio di linguaggio) | Note di implementazione |
| Ambito | Questa policy si applica a tutti i dipendenti, appaltatori, fornitori e terze parti che accedono ai sistemi o ai dati aziendali utilizzando l’autenticazione basata su password. Copre tutti i sistemi, incluse le piattaforme SaaS, i servizi cloud, gli strumenti interni, gli Endpoint e gli ambienti amministrativi. | Assicurati che nessun sistema o gruppo di utenti resti fuori dall’ambito. Includi i fornitori e gli ambienti condivisi. |
| Responsabilità dell’Utente | Tutti gli utenti devono creare, archiviare e gestire le password in conformità con questa policy. Gli utenti non devono condividere le credenziali, riutilizzare le password o archiviarle in posizioni non approvate. Ogni sospetta compromissione delle credenziali deve essere segnalata immediatamente. | Includi nell’onboarding e nella formazione sulla sicurezza. |
| Responsabilità di gestione | I manager devono garantire una comunicazione tempestiva di onboarding, cambi di ruolo e offboarding per attivare un controllo degli accessi e un aggiornamento delle credenziali adeguati. | Collega ai flussi di lavoro delle risorse umane (HR). |
| Responsabilità IT e di sicurezza | I team IT e di sicurezza sono responsabili dell’applicazione di questa policy, dell’approvazione degli strumenti di gestione delle password, del monitoraggio della conformità e della risposta agli incidenti relativi alle credenziali. | Assegna internamente una proprietà chiara. |
| Lunghezza della password | Le password devono rispettare le seguenti lunghezze minime: 15 caratteri (account standard), 16 caratteri (account privilegiati) e 20 caratteri (account condivisi o di servizio, ove possibile). | I sistemi dovrebbero supportare password lunghe (idealmente fino a 64 caratteri). |
| Creazione delle password | Le password devono essere generate casualmente utilizzando il gestore di password aziendale approvato dall’organizzazione. Non sono consentite password create dall’utente basate su schemi, dati personali o strutture prevedibili. | Proton Pass for Business può automatizzare la creazione di password forti e casuali. |
| Unicità della password | Le password devono essere uniche per ogni account, sistema e servizio. Il riutilizzo tra sistemi di lavoro, account personali o ambienti client è severamente vietato. | Imponi l’osservanza tramite strumenti e formazione, non basarti solo sulla memoria. |
| Test di robustezza della password | Le password non devono essere deboli, riutilizzate o precedentemente esposte in violazioni di dati note. | Utilizza sistemi che supportino il rilevamento di password compromesse in violazioni, ove possibile. |
| Pratiche vietate | È vietato quanto segue: riutilizzo delle password; uso di termini legati alla persona o all’azienda; schemi prevedibili; archiviazione di password in testo normale; condivisione di credenziali via email, chat o note. | Mantieni questa sezione esplicita per rimuovere ogni ambiguità. |
| Autenticazione a più fattori (MFA) | L’MFA deve essere attivata su tutti i sistemi che la supportano, in particolare per email, identity provider, accesso remoto, sistemi finanziari, piattaforme HR e account amministrativi. | Dai priorità ai sistemi ad alto rischio. |
| Archiviazione delle password | Tutte le credenziali devono essere archiviate solo nel gestore di password approvato dall’organizzazione. L’archiviazione nei browser o in strumenti locali non è consentita, a meno che non sia gestita centralmente e approvata. | Proton Pass for Business fornisce casseforti crittografate con accesso controllato. |
| Metodi di archiviazione vietati | Le password non devono essere archiviate in fogli di calcolo, documenti, bozze di email, sistemi di ticketing, drive condivisi o note personali. | Effettua regolarmente degli audit per queste pratiche, poiché sono molto comuni. |
| Condivisione delle password | Le password non devono essere condivise tramite canali informali. Laddove la condivisione sia necessaria, deve avvenire attraverso sistemi sicuri approvati che supportino il controllo degli accessi, l’auditing e la revoca. | Proton Pass for Business permette la condivisione sicura delle credenziali senza esporre la password stessa. |
| Account condivisi | Le credenziali degli account condivisi o di servizio devono avere un proprietario designato, accesso limitato, archiviazione sicura e revisioni periodiche. Le credenziali devono essere ruotate in caso di cambiamenti del personale o se si sospetta una compromissione. | Prediligi gli account individuali, dove possibile. |
| Formazione e sensibilizzazione | Tutti gli utenti devono completare la formazione sulla sicurezza di password e credenziali al momento dell’onboarding e periodicamente in seguito. La formazione deve includere la gestione delle password, l’uso dell’MFA, la sensibilizzazione al phishing e la segnalazione di incidenti. | Mantieni la formazione pratica e aggiornata. |
| Risposta agli incidenti | Qualsiasi compromissione di credenziali sospetta o confermata deve essere segnalata immediatamente. Le credenziali interessate devono essere reimpostate, le sessioni revocate e l’accesso deve essere riesaminato. Gli incidenti devono essere documentati. | La velocità di risposta conta più della perfezione. |
| Requisiti di segnalazione | Gli utenti devono segnalare sospette esposizioni di credenziali tramite il canale di segnalazione designato. Nessuna azione disciplinare deriverà da segnalazioni in buona fede. | Incoraggia la segnalazione tempestiva. |
| Monitoraggio e log | L’attività di autenticazione deve essere registrata nei log ove possibile, inclusi i tentativi di login, le modifiche alle credenziali e l’accesso privilegiato. I log devono essere controllati periodicamente per individuare anomalie. | Concentrati prima sui sistemi ad alto rischio. |
| Offboarding e revoca dell’accesso | In caso di cambio di ruolo o cessazione del rapporto, l’accesso deve essere rimosso immediatamente. Le credenziali condivise devono essere riesaminate e ruotate dove necessario. | Essenziale, poiché questo è uno dei punti di fallimento più comuni per le organizzazioni. |
| Allineamento alla conformità | Questa Policy supporta la conformità organizzativa a framework riconosciuti, come i requisiti di controllo dell’accedere NIST e ISO 27001. | Utile per audit e governance. |
| Applicazione | La mancata osservanza di questa Policy può comportare una nuova formazione, restrizioni di accesso o azioni disciplinari a seconda della gravità. | Applica con coerenza. |
| Ciclo di revisione | Questa Policy deve essere rivista almeno annualmente o a seguito di cambiamenti significativi nei sistemi, nei rischi o nei requisiti normativi. | Assegna un responsabile per gli aggiornamenti. |
Cos’è una Policy sulle password? Definizione, scopo e obiettivi
Una Policy sulle password è un insieme formale di regole che definisce come le credenziali vengono create, gestite, archiviate e protette all’interno dei sistemi di un’organizzazione.
Il concetto di una Policy sulle password sembra semplice, ma l’impatto è ampio. È molto più che imporre l’uso di un gestore di password aziendale per le credenziali di lavoro. Nelle organizzazioni moderne, le policy sulle password fungono da base per la sicurezza dell’identità.
Senza una Policy coerente che regoli il modo in cui le credenziali vengono gestite tra i vari sistemi, le pratiche relative alle password tendono a frammentarsi e le organizzazioni perdono gradualmente visibilità su come l’accesso viene effettivamente gestito.
Lo scopo di una solida Policy sulle password
Una Policy sulle password ben definita affronta le lacune di sicurezza stabilendo aspettative chiare su come gestire le credenziali in tutta l’organizzazione. Stabilisce standard coerenti per la creazione, l’archiviazione, la condivisione e la gestione del ciclo di vita delle password.
Le policy sulle password svolgono anche un ruolo importante nella governance e nella conformità. I framework di sicurezza, come le Linee guida NIST sull’identità digitale(nuova finestra) e gli standard come ISO 27001(nuova finestra), sottolineano l’importanza di solide pratiche di autenticazione come parte del moderno controllo degli accessi.
Dalle organizzazioni che gestiscono dati sensibili, in particolare informazioni personali, record finanziari o informazioni aziendali proprietarie, ci si aspetta sempre più che dimostrino che l’accesso a tali sistemi sia regolato da controlli di sicurezza documentati.
Con una Policy sulle password, la tua organizzazione definisce i requisiti minimi per la creazione, l’archiviazione, la condivisione e la gestione delle password utilizzate per accedere ai sistemi, ai servizi, ai dispositivi, alle applicazioni e ai dati aziendali.
Cosa dovrebbe fare una Policy sulle password?
Un documento di Policy sulle password ha lo scopo di:
- Ridurre gli incidenti di sicurezza legati alle password
- Prevenire il riutilizzo delle password e le pratiche di archiviazione non sicure
- Richiedere pratiche sicure per la creazione e la gestione delle password
- Supportare l’accesso sicuro tra dipendenti, fornitori e sistemi
- Rafforzare la preparazione agli audit e la governance degli accessi
- Definire le procedure di risposta per le credenziali compromesse
Insieme, questi obiettivi aiutano a garantire che la sicurezza delle password sia trattata come uno standard operativo piuttosto che come un’aspettativa informale.
Policy sulle password: ambito, ruoli e responsabilità
Una solida Policy sulle password dovrebbe rendere esplicite due cose. In primo luogo, dovrebbe definire chiaramente quali utenti, sistemi e dati devono attenersi alla policy.
In secondo luogo, dovrebbe chiarire chi è responsabile di seguire, implementare e mantenere tali standard in tutta l’organizzazione.
Definisci l’ambito della tua Policy sulle password
Nelle organizzazioni moderne, l’accesso è raramente limitato ai dipendenti a tempo pieno sulle reti interne. Collaboratori esterni, venditori e fornitori di servizi possono tutti richiedere l’accesso ai sistemi aziendali, quindi la policy dovrebbe estendersi a chiunque interagisca con i sistemi o i dati aziendali tramite autenticazione basata su password.
Dovrebbe applicarsi anche all’intero ambiente tecnologico, tra cui:
- Piattaforme cloud
- Strumenti SaaS
- Sistemi interni
- Ambienti di sviluppo
- Console amministrative
- Account operativi condivisi
Questo è importante perché gli aggressori raramente distinguono tra sistemi principali e secondari quando cercano punti di ingresso.
Definisci ruoli e responsabilità all’interno della tua policy sulle password
Senza una proprietà chiara, la gestione delle password diventa frammentata. I dipendenti presumono che l’IT gestisca la sicurezza automaticamente, mentre l’IT presume che gli utenti seguano le best practice in modo indipendente. Una sicurezza delle credenziali efficace richiede coordinamento in tutta l’organizzazione.
Mentre i dipendenti e i collaboratori esterni mantengono la sicurezza delle password nelle loro interazioni quotidiane con i sistemi, i manager supervisionano la governance degli accessi durante l’onboarding, i cambi di ruolo e l’offboarding. I team IT e della sicurezza saranno responsabili dell’implementazione dei controlli tecnici e del monitoraggio della conformità. I proprietari dei sistemi assicureranno inoltre che gli standard siano applicati all’interno delle applicazioni e degli ambienti che gestiscono.
Linee guida della policy sulle password sulla lunghezza minima della password e sui requisiti di entropia
La lunghezza della password è uno dei fattori più importanti nel determinare la forza di una credenziale. Password più lunghe aumentano drasticamente il numero di combinazioni possibili che un aggressore dovrebbe testare durante un attacco brute-force.
Infatti, il NIST raccomanda(nuova finestra) di dare priorità alla lunghezza della password rispetto a rigide regole di composizione. Invece di costringere gli utenti a includere combinazioni specifiche di simboli, numeri e lettere maiuscole, le policy moderne si concentrano sull’assicurare che le password siano sufficientemente lunghe e verificate rispetto a credenziali compromesse note.
Di conseguenza, le organizzazioni dovrebbero anche assicurarsi che i loro sistemi supportino password più lunghe e complesse ovunque sia tecnicamente fattibile. Ciò consente ai team di sicurezza di adottare standard di credenziali più forti nel tempo e assicura che la tua organizzazione sia pronta a soddisfare i requisiti di sicurezza in continua evoluzione in futuro.
Una password robusta dovrebbe soddisfare o superare questi requisiti chiave:
- Lunghezza sufficiente per resistere ai tentativi di cracking brute-force e automatizzati
- Unica per un singolo account o servizio, impedendo il riutilizzo delle credenziali tra i sistemi
- Difficile da indovinare, evitando informazioni personali, riferimenti aziendali o pattern prevedibili
- Casuale o altamente imprevedibile, idealmente generata da un gestore di password approvato
- Non precedentemente esposta in violazioni di dati note o presente in elenchi di password comuni
Tieni presente che le password basate su nomi, date di nascita, termini aziendali o semplici pattern di tastiera possono spesso essere craccate rapidamente utilizzando strumenti di cracking automatizzati, indipendentemente dalla lunghezza. Consulta la nostra guida dettagliata sui requisiti per password robuste sia per i privati che per le aziende.
Casualità e complessità della password
I moderni framework di sicurezza raccomandano di generare le password in modo casuale piuttosto che chiedere agli utenti di inventarle manualmente. Le password casuali generate da strumenti di gestione delle password approvati offrono una protezione significativamente più forte perché evitano pattern prevedibili e possono essere create con lunghezze impraticabili da ricordare.
Ad esempio, puoi utilizzare il generatore di password sicure e le pratiche di gestione delle credenziali sicure integrate in Proton Pass. Insieme, questi strumenti aiutano a generare password forti e imprevedibili, affrontando al contempo le sfide comuni relative all’archiviazione, alla condivisione e alla gestione del ciclo di vita delle password.
I seguenti requisiti minimi possono essere inclusi in una policy sulle password per scoraggiare l’uso di password deboli o riutilizzate:
- Le password degli account utente standard devono essere lunghe almeno 15 caratteri.
- Le password degli account privilegiati o di amministratore devono essere lunghe almeno 16 caratteri.
- Le credenziali degli account condivisi o di servizio dovrebbero essere lunghe almeno 20 caratteri, ove tecnicamente fattibile.
- I sistemi dovrebbero supportare password di almeno 64 caratteri ove possibile.
- Le frasi d’accesso lunghe possono essere utilizzate dove supportato e appropriato.
- Le password devono soddisfare i requisiti di robustezza e screening approvati dall’organizzazione prima dell’uso.
Utilizzo di password uniche per sistema o servizio
Il riutilizzo delle password è una delle cause più comuni di incidenti di sicurezza basati sulle credenziali. Quando la stessa password viene utilizzata in più servizi, una singola violazione può esporre l’accesso a diversi sistemi contemporaneamente.
Gli aggressori sfruttano abitualmente questo comportamento utilizzando una tecnica nota come credential stuffing, in cui nomi utente e password rubati da un servizio vengono testati automaticamente su altre piattaforme.
Per questo motivo, l’unicità è un requisito non negoziabile. Ogni account, servizio e sistema dovrebbe avere la propria password che non viene mai riutilizzata altrove.
Gestire decine o centinaia di password uniche sarebbe irrealistico senza il supporto di strumenti sicuri per la gestione delle password. Gli strumenti di gestione delle password aziendali rendono questo requisito pratico generando automaticamente password robuste e memorizzandole in modo sicuro, consentendo ai dipendenti di mantenere credenziali uniche senza dover fare affidamento sulla memoria.
Requisiti di autenticazione a più fattori (MFA)
L’autenticazione a più fattori (MFA) è uno dei modi più efficaci per ridurre il rischio di accesso non autorizzato, in particolare in ambienti in cui le credenziali possono essere esposte tramite phishing, malware(nuova finestra) o violazioni di dati esterne.
L’MFA funziona richiedendo agli utenti di verificare la propria identità attraverso almeno due fattori indipendenti prima di ottenere l’accesso a un account. Questi includono:
- Qualcosa che l’utente conosce (una password)
- Qualcosa che l’utente possiede (come una chiave di sicurezza, un’app di autenticazione o un dispositivo mobile)
- Qualcosa che sono (autenticazione biometrica come l’impronta digitale o il riconoscimento facciale).
Poiché gli aggressori raramente hanno accesso a tutti questi fattori simultaneamente, l’MFA riduce significativamente la probabilità che le sole credenziali rubate possano essere utilizzate per compromettere un account.
Le linee guida di organizzazioni come il NIST e la CISA incoraggiano vivamente(nuova finestra) l’uso dell’autenticazione a più fattori ovunque venga utilizzato l’accesso basato su password, in particolare per i sistemi che contengono dati sensibili o forniscono privilegi amministrativi.
Integrare l’MFA nella tua policy sulle password
La tua organizzazione può rafforzare ulteriormente l’adozione dell’MFA utilizzando strumenti che rendono l’autenticazione a due fattori più facile da distribuire e gestire tra i vari account. Per esempio, Proton Pass può memorizzare e inserire con il riempimento automatico le password monouso (TOTP) basate sul tempo insieme alle credenziali salvate, semplificando i flussi di lavoro per il login e mantenendo crittografati i dati di autenticazione.
Per le organizzazioni che preferiscono separare i fattori di autenticazione, Proton offre anche un’app Proton Authenticator dedicata, che genera codici di verifica sicuri a sei cifre e può sincronizzarli tra i dispositivi utilizzando la crittografia end-to-end. L’authenticator funziona offline ed è open source, consentendo alle organizzazioni di implementare l’MFA negli account aziendali mantenendo trasparenza e forti protezioni della privacy
Pratiche di condivisione sicura delle password
Sebbene molte linee guida sulla sicurezza sconsiglino di condividere del tutto le password, gli ambienti aziendali del mondo reale lo richiedono ancora. Gli account di servizio, l’accesso ai fornitori e le procedure di emergenza possono occasionalmente richiedere a più utenti autorizzati di accedere alle stesse credenziali.
Quando la condivisione avviene in modo informale, ad esempio tramite email, chat o comunicazione verbale, le credenziali vengono esposte e diventano difficili da controllare. Una volta condivise attraverso questi canali, in genere non esiste un modo affidabile per tracciare chi ha l’accesso o revocarlo in seguito.
Le Policy sulle password dovrebbero quindi definire come e quando è consentita la condivisione. Nella maggior parte delle organizzazioni, questa dovrebbe avvenire solo attraverso strumenti di gestione delle credenziali approvati che forniscano controlli di accesso, auditing e la possibilità di revocare l’accesso quando necessario.
Procedure di offboarding e di revoca dell’accesso
Quando i dipendenti cambiano ruolo, lasciano l’organizzazione o terminano i rapporti con i fornitori, l’accesso deve essere rivisto e adeguato tempestivamente. La mancata revoca delle credenziali in modo tempestivo è una delle fonti più comuni di accesso non autorizzato.
Una solida Policy sulle password dovrebbe integrarsi con i processi di onboarding e offboarding, garantendo che i privilegi di accesso siano aggiornati immediatamente per riflettere i cambiamenti di ruolo o le partenze, includendo la disattivazione degli account, la rotazione delle credenziali condivise e la revoca degli accessi al sistema non necessari.
Se più persone avevano accesso a un account di servizio condiviso, la password dovrebbe essere ruotata non appena si verificano cambiamenti di personale per evitare che ex dipendenti o collaboratori mantengano l’accesso dopo la disattivazione dei loro account.
Colmare il divario tra la Policy sulle password e le abitudini umane con Bridge
Le Policy sulle password sono efficaci solo se le persone le seguono.
Nella maggior parte delle organizzazioni, i fallimenti non avvengono perché mancano le Policy; avvengono perché le Policy non sono incorporate nei flussi di lavoro quotidiani. I dipendenti usano scorciatoie quando i processi non sono chiari, gli strumenti sono inadeguati o le aspettative non vengono rafforzate. Se implementata correttamente (e in combinazione con un gestore di password aziendale), una solida Policy sulle password sostituisce le abitudini informali con controlli coerenti, riduce i rischi legati alle credenziali e rende la gestione degli accessi sicuri parte delle operazioni quotidiane, e non un semplice ripensamento.
