Guide

Password sicure per aziende: i tool per creare fortezze digitali



Indirizzo copiato

Le aziende che non adottano password complesse sono esposte a rischi elevati di violazioni. L’uso di strumenti come password manager e soluzioni di monitoraggio migliorano la sicurezza e riducono i rischi legati all’errore umano. Le cose da sapere

Pubblicato il 20 set 2024



password sicure

Nonostante l’esistenza di soluzioni sempre più innovative per proteggere i dati, le password sicure rimangono il primo e fondamentale baluardo della sicurezza informatica in azienda. In questa breve guida, abbiamo unito pratiche e strumenti necessari a rafforzare la sicurezza digitale

L’importanza delle password aziendali

Sebbene le soluzioni passwordless, come l’autenticazione biometrica, stiano guadagnando terreno, la maggior parte dei sistemi aziendali richiede l’autenticazione tramite credenziali. Le password sono la prima barriera contro accessi non autorizzati e, a livello organizzativo, facilitano notevolmente la gestione dei permessi per dipendenti o l’uso delle risorse aziendali.

Minacce informatiche in continua evoluzione

Molte delle violazioni di sicurezza registrate negli ultimi anni derivano da esfiltrazioni di credenziali e si accompagnano a tecniche di credential stuffing (accesso a più applicazioni) che insieme al phishing e agli attacchi brute force, consentono ai cybercriminali di accedere a sistemi sensibili.  

Secondo il Data Breach Investigations Report 2024 di Verizon, l’80% delle violazioni riguarda credenziali compromesse. Un esempio di come i dati sottratti vengono utilizzati sono le combo list, una raccolta di credenziali rubate e vendute su canali del dark web e Telegram.

Le password come prima linea di difesa

Per l’Agenzia per la cybersicurezza nazionale (ACN), utilizzare password complesse e sicure è ancora uno dei metodi più efficaci per ridurre le vulnerabilità. Nonostante la diffusione di tecnologie avanzate come l’autenticazione multifattoriale (MFA), la gestione delle password rimane centrale.

Le conseguenze di una violazione dei dati aziendali

Quando una password viene compromessa vengono sottratti dati di clienti o partner e si bloccano le attività lavorative. Per il Regolamento sulla protezione dei dati, il GDPR, la mancata protezione delle informazioni di clienti e dipendenti può comportare pesanti sanzioni e azioni legali che amplificano la pressione finanziaria e reputazionale dell’azienda. Altra grave conseguenza è legata alla proprietà intellettuale con la violazione di documenti e progetti. Un danno finanziario a cui si aggiunge la perdita del vantaggio competitivo.

Creare password aziendali sicure: i principi base

Il primo passo è adottare alcune best practices:

Evitare password comuni e facilmente intuibili

Password come “123456” o “admin” sono ancora tra le più utilizzate ma anche tra le più rischiose per l’enorme vulnerabilità che rappresentano.

Nella compilazione di una password vanno, dunque, evitati i caratteri ripetitivi o sequenziali come “aaaaaa” o “1234abcd”, tutte le parole troppo legate al contesto, come il nome dell’azienda o del servizio, quello dell’utente e le relative derivazioni. Non bisogna reimpostare password già precedentemente violate. Ma soprattutto, le aziende devono implementare policy e utilizzare strumenti di controllo, come i test, che incoraggiano l’uso di password più robuste

Utilizzare combinazioni complesse di caratteri

Le principali linee guida sono concordi nel raccomandare password di almeno 12 caratteri che includano un mix di lettere maiuscole e minuscole, numeri e simboli speciali. Questa complessità riduce drasticamente la probabilità di decifrare la password tramite attacchi automatizzati.

Sempre più utilizzate sono, invece, le passphrase ossia parole casuali messe insieme per creare una frase sostituendo, poi, alcune lettere con numeri e simboli per avere maggiore complessità. 

Implementare password univoche per ogni account

Riutilizzare le stesse credenziali su più piattaforme espone l’azienda al rischio di violazioni multiple: se una password viene compromessa, gli attaccanti possono accedere ai diversi sistemi collegati. Inoltre, nonostante sembri scontato, le password non dovrebbero mai essere condivise altrove o trascritte su carta.

Tool per la gestione sicura delle password aziendali

Sul mercato esistono molti programmi e app che ottimizzano l’uso di password e automatizzano la loro creazione.

Password manager: archiviazione e accesso centralizzati

I password manager funzionano come una cassaforte virtuale (vault), protetta da una master password che consente di accedere. L’archiviazione delle password basata su cloud consente di salvare e gestire le password tramite un’interfaccia Web o mobile. Questi password manager permettono la sincronizzazione su più dispositivi. Offrono funzionalità di crittografia end-to-end, rilevamento delle password compromesse e gestione centralizzata delle credenziali.  


I password manager sul desktop, invece, memorizzano le credenziali localmente per una maggiore sicurezza offline ma richiedono la gestione manuale per la sincronizzazione. Quelli basati su browser memorizzano e compilano automaticamente le credenziali ma hanno meno funzionalità e sono considerati meno sicuri. 

Generatori di password: creazione di password univoche e complesse

I gestori di password utilizzano algoritmi pseudo-casuali per creare combinazioni uniche di caratteri, incluse lettere maiuscole e minuscole, numeri e simboli, rendendo le password difficili da decifrare. Alcuni generatori di password permettono la personalizzazione: si può scegliere la lunghezza e il tipo di caratteri in base ai requisiti di sicurezza aziendali. Questi generatori aiutano a evitare password deboli e il riutilizzo delle stesse credenziali su più account.

Strumenti di monitoraggio e auditing: identificazione e rimedio delle password deboli

Molte soluzioni in commercio consentono di implementare politiche di sicurezza più rigorose, bloccando automaticamente l’uso di password non conformi agli standard. Alcune piattaforme forniscono report di audit dettagliati per tracciare l’adozione delle policy delle password e verificare la conformità alle normative di sicurezza.

Rafforzare la sicurezza informatica aziendale: oltre le password

Le password rappresentano solo una parte della strategia di sicurezza aziendale.

Formazione e sensibilizzazione dei dipendenti

Anche con i migliori strumenti tecnologici, i dipendenti rimangono l’anello debole della catena di sicurezza. Le aziende devono investire in programmi di formazione e effettuare simulazioni di attacchi informatici e test di penetrazione specifici per trasmettere nozioni e consapevolezza ai dipendenti.  

Implementazione di politiche di sicurezza IT robuste

Le Linee Guida dell’Agenzia per la Cybersicurezza Nazionale (d’intesa con il Garante della privacy) raccomandano l’uso di sistemi di crittografia attraverso algoritmi di password hashing avanzati, per proteggere le credenziali. Questi algoritmi rendono le password memorizzate quasi impossibili da decifrare. Fra quelli più diffusi citiamo PBKDF2, SHA-256, Scrypt, Argon2. Inoltre, l’implementazione dell’autenticazione multifattoriale (MFA) aggiunge un ulteriore livello di sicurezza.

Monitoraggio continuo delle attività di rete e degli accessi

Gli strumenti di intrusion detection e monitoraggio proattivo aiutano a rilevare comportamenti sospetti in tempo reale. L’implementazione di queste soluzioni, insieme a un regolare sistema di backup, assicura che i dati critici possano essere ripristinati rapidamente in caso di violazione, riducendo al minimo i tempi di inattività.

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4