I sistemi di controllo degli accessi (access control) alle risorse It sono esposti a rischi continui. I responsabili della security possono implementare una serie di singole precauzioni che aderiscono a una policy di sicurezza. Su TechTarget – SearchSecurity è stato recentemente pubblicato – a cura di Adam Gordon – un estratto della parte relativa alla gestione della sicurezza delle password contenuta nel Official (ISC)2 Guide to the CISSP CBK, Fourth Edition, per la preparazione agli esami CISSP (Certified Information Systems Security Professional).
L’estratto descrive 12 step per implementare una strategia proattiva contro i password attack. L’autore premette che l’elenco non è da considerarsi esaustivo. Ecco quali sono i passi.
1. Controllo dell’accesso fisico ai sistemi
Gli architetti della sicurezza non possono non prendere in considerazione, nella progettazione della loro strategia di protezione del controllo degli accessi alle risorse IT, la necessità di impedire l’accesso non autorizzato ai server sui quali sono memorizzati i password file, ossia i file contenenti le password degli utenti. Chi riuscisse a copiare questi file, potrebbe in breve tempo violarne le protezioni offline. Una volta che un password file è stato sottratto, tutte le password si devono considerare compromesse.
2. Controllare l’accesso elettronico ai password file
Così come si cerca di evitare l’accesso fisico ai sistemi in cui sono contenuti i file con le password, si deve prevenire l’accesso a questi file anche in modo elettronico da parte di chi non è autorizzato. Per esempio, gli utenti finali e coloro che non sono amministratori degli account non hanno nessuna ragione per accedere elettronicamente a tali file. Ogni accesso non giustificato dovrebbe essere immediatamente investigato.
3. Crittografia dei password file
I password file devono essere crittografati utilizzando il metodo di encryption più forte disponibile nei sistemi operativi gestiti. Solitamente le password non sono memorizzate come testo in chiaro (plain text) ma crittografate con la tecnica unidirezionale (one-way) dell’hashing. L’excerpt pubblicato su TechTarget-SearchSecurity raccomanda che siano crittografati i password file su qualsiasi media in cui vengono replicati e qualora siano trasmessi su una rete.
4. Creare una policy di strong password
I responsabili della sicurezza devono raccomandare gli utenti a utilizzare password forti e di cambiarle spesso. Più lunghe e forti sono le password e più tempo è necessario per ricostruirle attraverso la forza bruta o altri metodi.
5. Prevedere il password masking
Le applicazioni che necessitano dell’utilizzo di una password devono essere progettate in modo che, nel campo di inserimento della stessa, i caratteri digitati non appaiano in chiaro ma sostituiti, ad esempio, da asterischi. Questa tecnica previene la possibilità che qualcuno possa leggere la password stando alle spalle dell’utente. Quest’ultimo, inoltre, deve essere consapevole che una persona potrebbe spiare i tasti premuti sulla tastiera.
6. Implementare l’autenticazione a due fattori
L’impiego della multifactor authentication – che richiede l’uso combinato di una password e di una one-time password (OTP inviata, ad esempio, sul cellulare o generata da un token) o di una rilevazione biometrica – è efficace perché previene l’accesso a una persona diversa da quella autorizzata anche se queste è entrata in possesso della password tradizionale.
7. Utilizzare i lockout control
I lockout control degli account aiutano a prevenire gli attacchi basati sui tentativi di individuare le password negli accessi online. Prevedono che, dopo un certo numeri di tentativi di accesso con una parola chiave errata (spesso cinque prove), l’account dell’utente sia temporaneamente sospeso. Se i sistemi da tenere sotto controllo non permettono l’uso di questa tecnica (come molti FTP server) è raccomandato un uso estensivo del logging e quello di intrusion detection systems (IDS) in grado di rilevare gli indizi di password attack.
8. Last logon notification
Un buon sistema che farsi aiutare dagli utenti per individuare accessi non autorizzati è fare apparire un messaggio, ogni volta che l’end user accede a un’applicazione, che riporta la data e l’ora in cui è avvenuto l’ultimo logon. Se l’utente si rende conto o sospetta che non può essere stato lui ad accedere, deve avvertire l’amministratore del sistema.
9. Educare gli end-user alla sicurezza
La formazione degli utenti riguardo alla sicurezza e alla necessità usare password forti e periodicamente rinnovate è importante per mitigare i rischi di attacchi basati sulle password. Gli end-user devono essere incoraggiati a usare password diverse a seconda dei servizi utilizzati, affinché l’eventuale furto di un’identità non consenta la violazione di altri sistemi. Inoltre devono essere informati sulle diverse tattiche di social engineering e invitati a non trascrivere le proprie password. Se le parole chiave molto lunghe e difficili da memorizzare può essere raccomandato di trascriverle e conservarle in un luogo sicuro.
10. Audit dei processi di access control
Il ricorso regolare a esami e audit dei processi di access control permette di stabilire l’efficacia di tali processi. Un esempio di auditing è monitorare i successi e i fallimenti dei processi di logon di un account. Per poter analizzare più log con dati di questo tipo può essere utile un IDS.
11. Gestire in modo attivo gli account
Se un utente lascia l’organizzazione o si prende un periodo di aspettativa, è opportuno disabilitare il suo account. Tutti gli account non più utili devono essere eliminati. Periodicamente devono essere riesaminati i permessi accordati a ciascun account.
12. Utilizzare vulnerability scanner
I vulnerability scanner consentono di individuare le vulnerabilità di un sistema di access control e aiutare molto i responsabili della sicurezza a prevenire i passowrd attack. Molte soluzioni di questo tipo includono strumenti di password cracking, in grado di identificare le password deboli, oltre a tool che verificano l’applicazione delle patch più aggiornate ai sistemi.
