Sicurezza Informatica per micro e piccole imprese italiane, autore Luca Murgianu
  • Mentibus Training Academy
  • Cybersecurity Essential
  • ISO 27001
  • NIS 2
  • GDPR
Seleziona una pagina
#7 – Gestione password e account

Controllo 7 –

Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

  • L’uso di password deboli
  • La scelta delle password
  • Linee guida per le password degli utenti
  • Lunghezza delle password
  • Complessità delle password
  • Educare gli utenti a non utilizzare le password aziendali in altre posizioni
  • Attivare la registrazione dell’autenticazione a più fattori

 L’uso di password deboli

L’utilizzo di password deboli, da parte di tutti gli attori della nostra azienda, già utilizzate o compromesse, rappresenta un altro importante problema di sicurezza informatica. Nonostante i rischi derivanti dall’utilizzo di password deboli siano ormai noti, nelle piccole imprese si fatica ad introdurre sistemi di verifica e obbligare l’operatore ad una scelta adeguata. Dalla nostra esperienza, insieme a questo fenomeno si aggiunge la necessità di condividere le password con altri colleghi o magari tenere un foglio con tutte le password dell’ufficio. Il che rende l’azienda e i suoi sistemi altamente vulnerabili.
Secondo un recente studio, il 47% delle mPMI ha segnalato di aver subito un attacco informatico per via della password compromessa di un dipendente, altre ricerche rivelano che il 73% delle password più diffuse al mondo potrebbe essere decifrato in meno di un secondo.
Un rapporto di Google indica che i due terzi degli utenti riutilizzano le stesse password sia tra gli account di lavoro che tra l’account di lavoro e quello personale.
A titolo di esempio, a causa di un databreach ad un Provider di posta elettronica, sul web si sono trovate delle liste che riportavano le password più diffuse tra gli utenti. In figura il risultato:

Password deboli più diffuse - Sicurezza informatiche per mpmi - Luca Murgianu per Confartigianato

 La scelta delle password

Troppi utenti, continuano ad usare delle password ancora troppo deboli in tutti i sistemi utilizzati quotidianamente; dall’accesso al personal computer, allo smartphone, applicativi generici, social network, posta elettronica e qualunque altro sistema HW o SW generalmente utilizzato. Ancora più spesso accade che la stessa password viene utilizzata su più dispositivi e piattaforme, cosicché la violazione di un sistema porta alla compromissione automatica di tutti gli altri.
L’utilizzo invece di una password robusta ed un accesso ai vari sistemi protetto da più fattori, consente di essere maggiormente al sicuro non solo rispetto alle violazioni ai propri dati personali, incidente già di per se fastidioso, ma di essere anche “conformi” e protetti in termini di normative cogenti, leggasi GDPR – Regolamento Europeo per la protezione dei dati personali, e quindi di non dover subire databreach, con le relative conseguenze.

 Linee guida per le password degli utenti

Definire delle regole e assicurarsi che gli utenti le conoscano è il primo passo verso un governo del problema.
Portare a conoscenza anche delle conseguenze a cui l’azienda può andare incontro e conseguentemente delle responsabilità personali nella gestione del lavoro, è sicuramente uno stimolo a fare bene o meglio e dunque contribuire ad una maggiore sicurezza e produttività generale.

  • Non usare una password uguale o simile a una password usata in un altro sito Web o per gli account personali;
  • Non usare una sola parola, ad esempio password, o una frase di uso comune, come Iloveyou;
  • Creare password difficili da indovinare anche da parte di persone molto intime, evitando ad esempio nomi e compleanni di amici e familiari, il gruppo musicale preferito e frasi usate spesso.

 Lunghezza delle password

I requisiti di lunghezza delle password (superiori a circa 10 caratteri) possono causare negli utenti un comportamento prevedibile e indesiderato.
Ad esempio, gli utenti a cui viene richiesto di usare password di 16 caratteri potrebbero scegliere schemi ripetitivi come ottoottoottootto o passwordpassword, che soddisfano il requisito della lunghezza ma non sono difficili da indovinare.
Inoltre, i requisiti di lunghezza aumentano le probabilità che gli utenti sviluppino abitudini non sicure, come annotare le password, riutilizzarle o memorizzarle nei propri documenti in formato non crittografato. Il NIST (National Institute of Standard Technology americano) ha elaborato una teoria secondo la quale, per incoraggiare gli utenti ad adottare una password univoca, consiglia di impostare un requisito di lunghezza che non superi gli 8 caratteri.
Noi riteniamo invece che una buona combinazione, che però sia lunga almeno 12 caratteri, possa risultare robusta e allo stesso tempo facile da ricordare.

 Complessità delle password

I requisiti di complessità delle password inducono gli utenti a ridurre la varietà di lettere scelte e ad adottare comportamenti prevedibili, causando più danni che vantaggi.
La maggior parte dei sistemi applica un certo livello di requisiti di complessità delle password.
Ad esempio, le password devono contenere caratteri di tutte e tre le categorie seguenti:

  •  caratteri maiuscoli
  •  caratteri minuscoli
  •  caratteri non alfanumerici

La maggior parte delle persone usa schemi simili, ad esempio una lettera maiuscola in prima posizione, un simbolo alla fine e un numero in penultima posizione.
I criminali informatici conoscono questi schemi, quindi eseguono gli attacchi con dizionario usando le sostituzioni più comuni, “$” per “s”, “@” per “a,” “1” per “l”. Obbligare gli utenti a scegliere una combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali ha un effetto negativo.
Alcuni requisiti di complessità impediscono addirittura agli utenti di usare password sicure e facili da ricordare, costringendoli a scegliere password meno sicure e più difficili da ricordare.
Anche a questo proposito, e a maggior ragione con la consapevolezza degli errori tipici commessi dagli utenti, riteniamo che la giusta combinazione possa soddisfare entrambi i requisiti di robustezza e mnemonicità.

 Educare gli utenti a non riutilizzare le password aziendali in altre posizioni

Uno dei messaggi più importanti da comunicare agli utenti dell’organizzazione è di non riutilizzare la password aziendale per altri scopi.
L’uso di password aziendali in siti Web esterni aumenta notevolmente le probabilità che i criminali informatici compromettano queste password.
In funzione della lunghezza e dei caratteri alfanumerici scelti e alle tecniche generalmente utilizzate dagli attaccanti, è possibile rilevare il tempo medio utilizzato per hackerare la password dell’utente.

 Attivare la registrazione dell’autenticazione a più fattori

Assicurarsi che gli utenti aggiornino le informazioni di contatto e di sicurezza, aggiungendo ad esempio un indirizzo di posta elettronica o un numero di telefono alternativo oppure un dispositivo registrato per le notifiche push, in modo che possano rispondere alle richieste di sicurezza e ricevere notifiche sugli eventi che riguardano la sicurezza. Se si mantengono aggiornate le informazioni di contatto e di sicurezza, è più facile verificare l’identità degli utenti in caso dimentichino la password o se qualcuno tenta di assumere il controllo del loro account. Si fornisce inoltre un canale di notifica fuori banda in caso di eventi di sicurezza come tentativi di accesso o password modificate.

Mentibus Training Academy - sicurezza informatica per le mPMI
“

Abilitare l’autenticazione a più fattori basata sul rischio.

Con l’autenticazione a più fattori basata sul rischio, quando il sistema rileva un’attività sospetta richiede all’utente di provare di essere il legittimo proprietario dell’account.

Controlli correlati

Sfoglia le categorie
#1 – Inventario dispositivi e software

#1 – Inventario dispositivi e software

Apr 28, 2025

Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...

#8 – Gestione password e account

#8 – Gestione password e account

Apr 28, 2025

Controllo 8:  Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati. Dotare ogni utente di un accesso...

#9 – Gestione password e account

#9 – Gestione password e account

Apr 28, 2025

Controllo 9:  Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza, secondo il principio del privilegio minimo. Non tutti i dipendenti di un’azienda hanno le stesse responsabilità e non tutti devono necessariamente avere...

Rimani aggiornato 

Mentibus Training Academy

Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection. 

Scopri i corsi
Sicurezza Informatica per le micro e piccole imprese italiane è un progetto di Luca Murgianu - P.IVA: IT04117050924