Le password deboli o riciclate rimangono una delle principali cause di violazione dei dati, soprattutto per le PMI che non dispongono di adeguate risorse dedicate alla sicurezza. Scoprite le best practice attuali per la creazione di un criterio di password , in modo da poter poi aiutare gli utenti con regole pratiche ed efficaci che li proteggano senza complicare le cose.
Principi fondamentali per criteri di password adatti alle PMI
I criteri di password per PMI devono essere chiari e concisi. Ti consigliamo di privilegiare la lunghezza e l’unicità rispetto alla complessità e di evitare la scadenza di routine delle password. Dovresti anche bloccare le password deboli e precedentemente compromesse. Gli amministratori devono anche istruire gli utenti sulle motivazioni alla base dei criteri di password, incoraggiando l’uso dell’autenticazione a più fattori e dei gestori di password.
Privilegiare la lunghezza e l’unicità rispetto alla complessità
La creazione di una password lunga (almeno 14 caratteri) può offrire agli utenti una protezione maggiore. La creazione di password lunghe è una pratica più sicura rispetto alla creazione di password complesse.
Le password lunghe sono più sicure perché la lunghezza aumenta il numero di combinazioni possibili in modo esponenziale, rendendo molto difficile il successo di un attacco brute-force. Una password lunga è anche più facile da ricordare rispetto a una parola breve e complessa e offre una maggiore resistenza agli attacchi basati su dizionario.
Evitare la scadenza di routine delle password
Molte organizzazioni implementano la scadenza di routine delle password. Ciò significa che richiedono agli utenti di cambiare la password dopo un determinato periodo di tempo. Tuttavia, questi criteri sono obsoleti e non sono più sicuri come un tempo.
Cambiare frequentemente le password può causare frustrazione per gli utenti. Questa frustrazione può portare gli utenti a creare password meno sicure, con schemi indovinabili e altri tipi di vulnerabilità. Invece di costringere gli utenti a cambiare le password regolarmente, ti consigliamo di cambiarle solo quando sospetti una compromissione o hai la prova di una violazione di sicurezza.
Bloccare le password deboli o precedentemente compromesse
È prudente che le organizzazioni si avvalgano di strumenti come Have I Been Pawned? che elenca le password compromesse. Se la password di un utente compare in questo elenco, l’utente non deve più utilizzarla. E se stai utilizzando strumento o un software che ha subito una violazione di sicurezza, ti consigliamo di far cambiare le password a tutti gli utenti.
Incoraggiare l’MFA e l’uso di gestori di password
L’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per gli utenti. Dopo che gli utenti hanno inserito le proprie credenziali, gli verrà chiesto di verificare la propria identità tramite un codice in loro possesso, un messaggio ricevuto o un’applicazione sul telefono. Per questo motivo, anche se la password dell’utente può essere debole o compromessa, i malintenzionati non saranno comunque in grado di accedere ai loro account.
I gestori di password sono un altro strumento utile per la sicurezza informatica. Uno dei maggiori rischi per la sicurezza della protezione degli account è rappresentato dal fatto che gli utenti possono avere difficoltà a ricordare le proprie password e quindi possono adottare pratiche non sicure come scrivere la propria password, riutilizzarla o utilizzare modelli facilmente indovinabili.
I gestori di password possono aiutare a risolvere questo problema. Invece di dover ricordare una password lunga e unica per tutti i loro account, devono ricordare solo una password per il loro gestore di password. Il gestore di password è responsabile della generazione di password forti per l’utente e della loro memorizzazione.
Istruisci gli utenti invece di rendergli la vita difficile
Una delle cose più importanti che un’organizzazione può fare per mantenere sicuri gli account degli utenti è istruirli. È importante che non solo seguano i criteri di sicurezza, ma che capiscano anche perché esistono. Insegna a questi utenti perché le passphrase funzionano, dai loro consigli su come evitare di riutilizzare le password e sul valore della conservazione sicura delle password.
È inoltre essenziale garantire che l’implementazione dei criteri di password non sia percepita come punitiva. Una profonda comprensione dei criteri di sicurezza incoraggerà gli utenti a seguire meglio le best practice.
Implementazione dei criteri tramite GPO o impostazioni del cloud
In Active Directory o GPO
📌 Prerequisiti: Devi utilizzare Active Directory per gestire gli endpoint.
💡 Nota: Group Policy Management Console (GPMC) è installato per impostazione predefinita sui domain controller (DC) ed è necessario aprirlo da un DC. Ma può essere installato anche su altri computer Windows collegati al dominio attraverso gli strumenti RSAT.
- Premi la combinazione di tasti Win+R.
- Digita gpmc.msc e premi Invio. Si aprirà la Console di gestione dei Criteri di gruppo.
- Vai su: Forest > Domini > <yourdomain.com> > Criterio predefinito del dominio.
Sostituisci yourdomain.com con il dominio che desideri gestire. - Clicca con il pulsante destro del mouse su Criterio predefinitio del dominio > Modifica.
- Vai su Configurazione del computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri di account > Criteri di password.
- Clicca due volte sulle seguenti impostazioni per modificarle e gestirle:
- Lunghezza minima della password: impostala su 12-14 caratteri o più
- La password deve soddisfare i requisiti di complessità: Disabilita
- Applica la cronologia delle password: Controlla il numero di password uniche che un utente deve utilizzare prima di riutilizzare una password precedente; modifica in base ai criteri di sicurezza dell’organizzazione
In Microsoft 365 o piattaforme cloud
📌 Prerequisiti: Devi utilizzare Microsoft 365 per la tua organizzazione.
Microsoft 365 supporta password fino a 256 caratteri, ben oltre i 12-14 caratteri raccomandati. Si tratta di una funzione nativa, che gli amministratori non devono modificare.
Per configurare gli elenchi di password vietate, procedi come segue:
- Vai al Centro amministrativo Entra.
- Quindi vai su Protezione > Metodi di autenticazione > Protezione con password.
- Configura l’elenco personalizzato delle password vietate. Puoi aggiungere password facili da indovinare, come il nome dell’azienda, i compleanni, le stagioni e gli anni.
- Cambia la modalità in Applica in modo che Entra blocchi attivamente le password deboli o proibite.
Per disabilitare la scadenza forzata della password, procedi come segue:
- Vai al Centro amministrativo Entra.
- Quindi vai su Impostazioni > Impostazioni organizzazione > Sicurezza e privacy.
- Individua il criterio di scadenza della password.
- Modifica l’impostazione in Non scade mai.
Tabella riassuntiva delle best practice
| Principio | Perché funziona |
| Lunghezza della passphrase > complessità | Le password lunghe sono più facili da ricordare e più difficili da decifrare rispetto alle password complesse. |
| Nessuna scadenza automatica | Evita la frustrazione dell’utente e le rotazioni prevedibili. |
| Bloccare le password riutilizzate/compromesse | Impedisce i vettori di attacco più comuni che i malintenzionati utilizzano abitualmente. |
| Utilizzare MFA + gestore di password | Questi strumenti migliorano l’usabilità e aumentano la sicurezza. |
| Offri formazione agli utenti | Ciò garantirà che il criterio sia pienamente compreso e non solo applicato. |
Automazione opzionale
Puoi automatizzare l’applicazione dei criteri delle password utilizzando Windows PowerShell seguendo i seguenti passaggi:
📌 Prerequisiti: Devi utilizzare Active Directory per gestire gli endpoint.
- Apri Windows PowerShell come amministratore di dominio.
- Esegui il seguente comando:
Import-Module ActiveDirectory
Get-ADDefaultDomainPasswordPolicy | Select MinPasswordLength, PasswordHistoryCount
In questo modo si recupera la lunghezza minima della password e il requisito di cronologia della password dal criterio di password di dominio predefinito in Active Directory per gli utenti.
- Per modificare la lunghezza minima della password, digita questo comando e premi Invio:
Set-ADDefaultDomainPasswordPolicy -Identity "yourdomain.com" -MinPasswordLength 12
Modifica “yourdomain.com” con il dominio corretto e cambia il numero dopo MinPasswordLength con la lunghezza indicata nei criteri di sicurezza.
Idee di integrazione della piattaforma NinjaOne per ottimizzare i criteri di password dell’organizzazione
Ecco alcuni modi in cui le organizzazioni possono integrare gli strumenti RMM di NinjaOne nei loro criteri di password:
- Utilizza gli strumenti di scripting remoto di NinjaOne per verificare da remoto lo stato e la conformità dei criteri delle password degli utenti.
- Utilizza NinjaOne Documentation per la documentazione che spiega perché vengono applicati determinati controlli sulle password.
Incoraggia l’utilizzo di password sicure applicando criteri di password forti
I criteri di password non sono solo regole arbitrarie: il loro obiettivo principale è una sicurezza efficace e gestibile. Assicurati di aggiungere livelli di protezione utilizzando MFA e gestori di password.
Questo aumenterà la sicurezza e ridurrà al minimo la resistenza degli utenti. Inoltre, gli amministratori impiegheranno meno tempo per assistere gli utenti che dimenticano la password o utilizzano una passphrase debole. Incoraggiare l’adozione di queste pratiche aiuterà la tua azienda a crescere e a bilanciare la riduzione dei rischi con l’usabilità operativa.
Link correlati:
