TECHTARGET

Password: la protezione dell’IT inizia da qui

Si fa in fretta a dire che basta usare le password. Ma quanto sono sicure quelle che utilizzano gli utenti? Quanto lo sono i sistemi aziendali in cui sono memorizzate? E quanto sono efficienti le verifiche di questo ambito della sicurezza? Ecco una lista delle misure minime da adottare

Pubblicato il 23 Gen 2018

Come prevenire attacchi alle password ed exploit a esse collegati

I sistemi di controllo degli accessi (access control) alle risorse It sono esposti a rischi continui. I responsabili della security possono implementare una serie di singole precauzioni che aderiscono a una policy di sicurezza. Su TechTarget – SearchSecurity è stato recentemente pubblicato – a cura di Adam Gordon – un estratto della parte relativa alla gestione della sicurezza delle password contenuta nel Official (ISC)2 Guide to the CISSP CBK, Fourth Edition, per la preparazione agli esami CISSP (Certified Information Systems Security Professional).

L’estratto descrive 12 step per implementare una strategia proattiva contro i password attack. L’autore premette che l’elenco non è da considerarsi esaustivo. Ecco quali sono i passi.

1. Controllo dell’accesso fisico ai sistemi

Gli architetti della sicurezza non possono non prendere in considerazione, nella progettazione della loro strategia di protezione del controllo degli accessi alle risorse IT, la necessità di impedire l’accesso non autorizzato ai server sui quali sono memorizzati i password file, ossia i file contenenti le password degli utenti. Chi riuscisse a copiare questi file, potrebbe in breve tempo violarne le protezioni offline. Una volta che un password file è stato sottratto, tutte le password si devono considerare compromesse.

2. Controllare l’accesso elettronico ai password file

Così come si cerca di evitare l’accesso fisico ai sistemi in cui sono contenuti i file con le password, si deve prevenire l’accesso a questi file anche in modo elettronico da parte di chi non è autorizzato. Per esempio, gli utenti finali e coloro che non sono amministratori degli account non hanno nessuna ragione per accedere elettronicamente a tali file. Ogni accesso non giustificato dovrebbe essere immediatamente investigato.

3. Crittografia dei password file

I password file devono essere crittografati utilizzando il metodo di encryption più forte disponibile nei sistemi operativi gestiti. Solitamente le password non sono memorizzate come testo in chiaro (plain text) ma crittografate con la tecnica unidirezionale (one-way) dell’hashing. L’excerpt pubblicato su TechTarget-SearchSecurity raccomanda che siano crittografati i password file su qualsiasi media in cui vengono replicati e qualora siano trasmessi su una rete.

4. Creare una policy di strong password

I responsabili della sicurezza devono raccomandare gli utenti a utilizzare password forti e di cambiarle spesso. Più lunghe e forti sono le password e più tempo è necessario per ricostruirle attraverso la forza bruta o altri metodi.

5. Prevedere il password masking

Le applicazioni che necessitano dell’utilizzo di una password devono essere progettate in modo che, nel campo di inserimento della stessa, i caratteri digitati non appaiano in chiaro ma sostituiti, ad esempio, da asterischi. Questa tecnica previene la possibilità che qualcuno possa leggere la password stando alle spalle dell’utente. Quest’ultimo, inoltre, deve essere consapevole che una persona potrebbe spiare i tasti premuti sulla tastiera.

6. Implementare l’autenticazione a due fattori

L’impiego della multifactor authentication – che richiede l’uso combinato di una password e di una one-time password (OTP inviata, ad esempio, sul cellulare o generata da un token) o di una rilevazione biometrica – è efficace perché previene l’accesso a una persona diversa da quella autorizzata anche se queste è entrata in possesso della password tradizionale.

7. Utilizzare i lockout control

I lockout control degli account aiutano a prevenire gli attacchi basati sui tentativi di individuare le password negli accessi online. Prevedono che, dopo un certo numeri di tentativi di accesso con una parola chiave errata (spesso cinque prove), l’account dell’utente sia temporaneamente sospeso. Se i sistemi da tenere sotto controllo non permettono l’uso di questa tecnica (come molti FTP server) è raccomandato un uso estensivo del logging e quello di intrusion detection systems (IDS) in grado di rilevare gli indizi di password attack.

8. Last logon notification

Un buon sistema che farsi aiutare dagli utenti per individuare accessi non autorizzati è fare apparire un messaggio, ogni volta che l’end user accede a un’applicazione, che riporta la data e l’ora in cui è avvenuto l’ultimo logon. Se l’utente si rende conto o sospetta che non può essere stato lui ad accedere, deve avvertire l’amministratore del sistema.

9. Educare gli end-user alla sicurezza

La formazione degli utenti riguardo alla sicurezza e alla necessità usare password forti e periodicamente rinnovate è importante per mitigare i rischi di attacchi basati sulle password. Gli end-user devono essere incoraggiati a usare password diverse a seconda dei servizi utilizzati, affinché l’eventuale furto di un’identità non consenta la violazione di altri sistemi. Inoltre devono essere informati sulle diverse tattiche di social engineering e invitati a non trascrivere le proprie password. Se le parole chiave molto lunghe e difficili da memorizzare può essere raccomandato di trascriverle e conservarle in un luogo sicuro.

10. Audit dei processi di access control

Il ricorso regolare a esami e audit dei processi di access control permette di stabilire l’efficacia di tali processi. Un esempio di auditing è monitorare i successi e i fallimenti dei processi di logon di un account. Per poter analizzare più log con dati di questo tipo può essere utile un IDS.

11. Gestire in modo attivo gli account

Se un utente lascia l’organizzazione o si prende un periodo di aspettativa, è opportuno disabilitare il suo account. Tutti gli account non più utili devono essere eliminati. Periodicamente devono essere riesaminati i permessi accordati a ciascun account.

12. Utilizzare vulnerability scanner

I vulnerability scanner consentono di individuare le vulnerabilità di un sistema di access control e aiutare molto i responsabili della sicurezza a prevenire i passowrd attack. Molte soluzioni di questo tipo includono strumenti di password cracking, in grado di identificare le password deboli, oltre a tool che verificano l’applicazione delle patch più aggiornate ai sistemi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4