Che cos'è una password policy e come crearne una?
Pubblicato: 2023-01-26Le password compromesse sono una delle ragioni principali per le violazioni dei dati. Infatti, oltre l'80% delle violazioni legate all'hacking sono causate da problemi relativi alle password. Una politica di password complesse può aiutare a garantire che tutti nella tua azienda utilizzino password complesse.
Quindi cos'è una policy per le password? Come è possibile creare una politica password standard? E quali sono le best practice per la politica delle password? Scopriamolo di seguito.
Che cos'è una politica sulle password?
Una password policy è un insieme di linee guida per fare in modo che tutti in un'azienda creino una password complessa e la utilizzino correttamente per migliorare la sicurezza del computer e la sicurezza online.
Una politica password standard include ciò che gli utenti devono considerare e ciò che dovrebbero evitare durante la creazione, la modifica, l'archiviazione o la condivisione delle password.
Ad esempio, la tua politica sulle password può imporre agli utenti di creare password più lunghe, incluso un certo numero di caratteri speciali.
A seconda delle esigenze della tua organizzazione, puoi rendere i tuoi criteri per le password obbligatori o obbligatori.
Perché le politiche sulle password sono importanti?
Una politica sulle password può aiutarti a rafforzare la pratica di utilizzare password complesse e univoche nella tua azienda per migliorare la sicurezza delle password.
Ecco i motivi principali per cui l'implementazione di una politica di sicurezza delle password complesse è fondamentale per la tua azienda:
- Il riutilizzo della password è un errore di sicurezza. Una politica sulle password può rapidamente escludere la pratica del riutilizzo delle password
- Una politica di password complessa con una clausola di autenticazione a più fattori aiuta a ridurre al minimo i vari rischi per la sicurezza in larga misura
- Tutti nella tua azienda inizieranno a creare password complesse e ad archiviarle in modo sicuro. Di conseguenza, le tue password saranno al sicuro da attacchi di forza bruta e altri attacchi relativi alle password
- Una politica di password complessa segnala ai tuoi clienti e fornitori che stai adottando misure rigorose per salvaguardare le password. Questo può aiutare a creare fiducia con loro
Ultimo ma non meno importante, una politica sulle password coltiva una cultura della sicurezza informatica che è della massima importanza nel mondo di oggi, poiché le piccole imprese stanno diventando sempre più l'obiettivo di vari tipi di attacchi alla sicurezza informatica.
Come creare una politica password standard
Di seguito è riportato un processo dettagliato per creare una politica di password complessa:
1. Impostare i requisiti di complessità della password
Gli amministratori di sistema o i reparti IT devono impostare linee guida sulla complessità delle password per garantire la creazione di password sicure.
Di seguito sono riportati i requisiti essenziali per le password da includere nella politica delle password per aiutare gli utenti a evitare di creare password deboli:
- Le password devono essere lunghe almeno dieci caratteri (Più lungo è meglio)
- Gli utenti devono includere lettere maiuscole, lettere minuscole e caratteri speciali nelle password
- Includere parole errate è una buona tattica per creare password complesse
Gli attacchi di forza bruta e gli attacchi del dizionario possono decifrare password semplici. Quindi la tua politica sulle password deve avere requisiti di complessità per incoraggiare gli utenti a creare password a prova di hacker.
2. Creare un elenco di password rifiutate
Oltre a indicare ciò che gli utenti dovrebbero fare, la tua politica sulle password dovrebbe anche indicare le cose che gli utenti devono evitare durante la creazione delle password.
Un elenco di password negate può includere quanto segue:
- Informazioni relative alla persona come nome, data di nascita, luogo di nascita, qualifica professionale, ecc.
- Numeri di telefono, civici o civici
- Nome del coniuge, dei figli o dei propri cari
- Riutilizzo della stessa password su più account
Come regola empirica, l'elenco dei criteri di password bloccati dovrebbe includere qualsiasi tipo di informazione personale o un modello semplice (come QWERTY a 123456).
3. Impostare un periodo di scadenza della password
L'idea principale alla base dell'impostazione di un periodo di scadenza della password è che gli hacker non sapranno se le password che hanno trovato in una vecchia violazione dei dati funzioneranno.
Ad esempio, la tua password viene divulgata in un incidente di violazione dei dati di due mesi. E cambi la tua password ogni mese. Gli hacker non saranno in grado di accedere al tuo account utilizzando quella password trapelata.
Idealmente, il periodo di scadenza della password dovrebbe essere impostato su tre mesi. Ma puoi regolare questo periodo, a seconda delle esigenze della tua attività. Inoltre, dovresti assicurarti che i tuoi dipendenti non riutilizzino le stesse password per altri account.
4. Applicare l'autenticazione a più fattori
L'autenticazione a più fattori (MFA) può aumentare la sicurezza degli account nella tua azienda. Questo perché gli hacker non saranno in grado di ottenere l'accesso agli account anche se si impossessano di accessi e password per tali account.
Pertanto, la policy delle password deve rendere obbligatorio per gli utenti l'implementazione dell'autenticazione a più fattori per tutti gli account che consentono questa funzione.
5. Includere la soglia di blocco dell'account
La soglia di blocco dell'account consente agli account utente di essere bloccati dopo un determinato numero di tentativi di accesso non riusciti. Questa funzione protegge i tuoi account dagli attacchi Brute Force e dagli attacchi del dizionario.
Idealmente, puoi impostare la soglia di blocco dell'account su cinque tentativi di accesso non riusciti. Ciò include l'implementazione di un periodo di blocco dell'account di 15 minuti.
6. Avere linee guida su come memorizzare le password
Sai che il 55 percento dei dipendenti salva le password in note adesive? Il modo in cui i tuoi dipendenti memorizzano le password influisce sulla sicurezza delle password.
Memorizzare le password nelle e-mail, nell'app per appunti su un telefono, nelle note cartacee e nei documenti su un computer è una cattiva pratica. E così facendo indebolisce la sicurezza delle password, anche se le password sono lunghe e complesse.
Pertanto, la politica di sicurezza delle password deve includere linee guida chiare per l'archiviazione sicura delle password. E un modo per farlo è utilizzare un gestore di password, che mantiene la tua password crittografata e archiviata in modo sicuro dietro la password principale.
Sebbene la maggior parte dei browser in questi giorni disponga di una funzione per archiviare le password, l'utilizzo di un gestore di password per archiviare le password è un'opzione più sicura. Un gestore di password offre anche modi sicuri per condividere le password tra diversi utenti.
7. Impostare le conseguenze per i trasgressori delle norme
Hai creato una politica di sicurezza delle password per proteggere i computer e gli account online. Quindi tutti dovrebbero seguirlo religiosamente. Stabilire alcune conseguenze per coloro che violano frequentemente la politica può essere una buona idea per incoraggiare tutti gli utenti a rispettare la politica della password,
Tuttavia, dovresti escogitare modi creativi per far sentire ai violatori delle norme sulle password di aver commesso degli errori. Qualsiasi dura punizione può trasformarli in una minaccia interna.
Offri ai violatori delle policy più sessioni di formazione sulla consapevolezza e incoraggiali a seguire la policy sulle password. Ma se qualcuno commette ripetutamente errori nonostante i numerosi avvertimenti, lasciarlo andare può essere l'opzione migliore, poiché sta mettendo a rischio la tua attività.
8. Aggiorna regolarmente la tua politica sulla password
La tua politica sulle password non dovrebbe essere qualcosa di scolpito nella pietra. Invece, dovresti rivedere la tua politica sulla password di volta in volta e verificare se ha esito positivo:
- Garantire che gli utenti creino password lunghe e complesse
- Impedire agli utenti di creare nuove password facili da hackerare
- Incoraggiare gli utenti a modificare frequentemente le password, come consigliato nella politica
- Impedire agli utenti di utilizzare la stessa password per più account
Modificare la politica delle password in linea con le osservazioni fatte nei regolari controlli delle password ti aiuta a creare una solida politica delle password per migliorare la sicurezza delle password nella tua azienda.
Best practice per la politica delle password
Di seguito sono riportate le best practice per massimizzare il successo della tua policy sulle password:
1. Avere una politica password di facile accesso
La guida alle policy dovrebbe essere organizzata in modo che gli utenti possano navigare facilmente attraverso diverse sezioni come la creazione e l'archiviazione delle password.
Prepara sia una copia cartacea che una copia elettronica della policy delle password per garantire che gli utenti possano accedervi nel modo desiderato.
2. Adottare un sistema di gestione delle password
Includere l'uso obbligatorio di un gestore di password nella tua policy può rafforzare notevolmente la sicurezza delle password. Come?
I dipendenti devono creare più password in questi giorni. E la creazione di una password univoca per ogni account può essere un problema per molti utenti. Un gestore di password può creare istantaneamente una password difficile da decifrare e salvare più password in modo sicuro.
3. Vieta la condivisione di password non sicure
La condivisione delle password tra gli utenti è una pratica comune nell'ambiente aziendale odierno quando più dipendenti lavorano su un singolo progetto.
Per migliorare la sicurezza delle password, è necessario assicurarsi che nessuno condivida le password tramite messaggi di testo, e-mail o messaggi istantanei. La condivisione sicura delle password è un must per migliorare la sicurezza delle password. Tutti i gestori di password rinomati consentono agli utenti di condividere le password in modo sicuro.
4. Implementare l'ora di accesso
I dipendenti devono accedere agli account e ai sistemi solo quando li utilizzano. Mantenere account e sistemi connessi quando nessuno li utilizza è una pessima pratica di sicurezza informatica. E la politica delle password dovrebbe vietare severamente questa pratica.
5. Esegui regolari controlli delle password
Stabilisci controlli delle password come pratica regolare per verificare l'efficacia della tua politica sulle password. Questo ti aiuterà a capire le aree di miglioramento nella tua politica sulle password per massimizzarne il successo.
Quali sono le linee guida per le password del NIST?
Le linee guida essenziali del NIST per le password includono, a titolo esemplificativo ma non esaustivo, la creazione di password lunghe almeno otto caratteri, l'enfasi sulla lunghezza piuttosto che sulla complessità, l'attivazione delle impostazioni di "mostra password", l'implementazione dell'autenticazione a due o più fattori e l'evitare frequenti cambi di password.
Le password complesse sono importanti quanto la lunghezza minima della password?
La complessità e la lunghezza della password sono entrambe necessarie per creare password difficili da hackerare. Ma la scelta di password più complesse rispetto a password più lunghe rende difficile per gli utenti ricordare le password. Si consiglia di massimizzare la lunghezza e la complessità se un'azienda utilizza un'app di gestione delle password.
Quanto spesso devono essere cambiate le password?
La maggior parte degli esperti di sicurezza informatica consiglia di cambiare le password ogni tre mesi. Tutti i buoni gestori di password hanno spesso una funzione che indica se le password salvate vengono trovate in qualsiasi incidente di violazione dei dati. Dovresti cambiare immediatamente una password se è esposta a qualsiasi violazione dei dati.
Le piccole imprese dovrebbero utilizzare un gestore di password?
Sì, le piccole imprese dovrebbero utilizzare un gestore di password. Un'app per la gestione delle password può aiutare i tuoi dipendenti a creare password complesse, archiviare le password in modo sicuro e condividerle in modo sicuro. L'uso di un gestore di password offre una protezione tramite password affidabile.
Qual è la politica password ideale?
La politica delle password ideale pone l'accento sulla creazione di password difficili da decifrare, sull'archiviazione sicura delle password e sull'utilizzo di password diverse per account diversi. Sottolinea inoltre la modifica frequente delle vecchie password.
POTREBBE PIACERTI ANCHE:
- Condividere le password WiFi aziendali non deve essere difficile, usa i codici QR come questo
Immagine: Elementi Envato