Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
La guida definitiva alle migliori pratiche per le password: Proteggere la tua identità digitale

La guida definitiva alle migliori pratiche per le password: Proteggere la tua identità digitale

Nov 15, 2023

Le password rimangono la prima linea di difesa contro le minacce informatiche, ma credenziali deboli o riutilizzate espongono le organizzazioni ad attacchi di forza bruta, dizionario e phishing. Pratiche di password robuste — combinate con gestori di password e autenticazione multifattore — sono essenziali per proteggere i dati sensibili e soddisfare i requisiti di conformità. Netwrix Password Secure applica le politiche, rileva credenziali deboli e garantisce la sicurezza delle password su scala aziendale.

Alla luce degli attacchi informatici in escalation e delle data breaches, il consiglio onnipresente di “non condividere la tua password” non è più sufficiente. Le password rimangono le chiavi primarie per i nostri beni digitali più importanti, quindi seguire le migliori pratiche di sicurezza delle password è più critico che mai. Che tu stia proteggendo email, reti o account utente individuali, seguire le migliori pratiche per le password può aiutare a proteggere le tue informazioni sensibili dalle minacce informatiche.

Leggi questa guida per esplorare le migliori pratiche relative alle password che dovrebbero essere implementate in ogni organizzazione — e scopri come proteggere le informazioni vulnerabili aderendo a strategie di sicurezza migliori.

I segreti delle password sicure

Una password robusta è la tua prima linea di difesa per proteggere i tuoi account e reti. Implementa queste migliori pratiche standard nella creazione di password quando pensi a una nuova password:

  • Complessità: Assicurati che le tue password contengano un mix di lettere maiuscole e minuscole, numeri e caratteri speciali. Va notato che le regole di composizione, come minuscole, simboli, ecc. non sono più raccomandate dal NIST — quindi usale a tua discrezione.
  • Lunghezza: Le password più lunghe sono generalmente più sicure — e di solito, la lunghezza prevale sulla complessità. Puntate ad avere almeno 6-8 caratteri.
  • Imprevedibilità: Evitate di usare frasi comuni o schemi prevedibili. Non utilizzate informazioni facilmente indovinabili come date di nascita o nomi. Invece, create stringhe uniche che siano difficili da indovinare per gli hacker.

Contenuti correlati selezionati:

Combinando questi fattori si rendono le password più difficili da indovinare. Ad esempio, se una password è lunga 8 caratteri e include lettere maiuscole, lettere minuscole, numeri e caratteri speciali, il numero totale di combinazioni possibili sarebbe (26 + 26 + 10 + 30)^8. Questo numero astronomico di possibilità rende estremamente difficile per un attaccante indovinare la password.

Naturalmente, alla luce delle nuove linee guida del NIST sulle password, il metodo migliore per garantire la sicurezza delle password è l'utilizzo di un gestore di password: questa soluzione non solo aiuta a creare e memorizzare le tue password, ma rifiuterà automaticamente quelle comuni e facili da indovinare (incluse nei dump delle password). I gestori di password aumentano notevolmente la sicurezza contro i seguenti tipi di attacco.

Attacchi di indovinamento delle password

Comprendere le tecniche che gli avversari utilizzano per indovinare le password degli utenti è essenziale per la sicurezza delle password. Ecco alcuni degli attacchi principali da conoscere:

Attacco Brute-Force

In un attacco brute-force, un attaccante prova sistematicamente ogni possibile combinazione di caratteri fino a quando non viene trovata la password corretta. Questo metodo richiede tempo ma può essere efficace se la password è debole.

Le password robuste aiutano a contrastare gli attacchi di forza bruta perché aumentano il numero di combinazioni possibili che un attaccante deve provare, rendendo improbabile che possa indovinare la password in un lasso di tempo ragionevole.

Attacco a dizionario

Un attacco dizionario è un tipo di attacco a forza bruta in cui un avversario utilizza un elenco di parole comuni, frasi e password comunemente usate per cercare di ottenere accesso.

Le password uniche sono essenziali per contrastare gli attacchi di dizionario perché gli aggressori si affidano a parole e frasi comuni. Utilizzare una password che non sia una parola di dizionario o un modello noto riduce significativamente la probabilità di essere indovinata. Ad esempio, la stringa “Xc78dW34aa12!” non è presente nel dizionario o nell'elenco delle password comunemente utilizzate, rendendola molto più sicura di qualcosa di generico come “password”.

Attacco a dizionario con variazioni di caratteri

In alcuni attacchi di tipo dizionario, gli avversari utilizzano anche parole standard ma tentano anche sostituzioni comuni di caratteri, come sostituire la lettera ‘a’ con ‘@’ o la lettera ‘e’ con ‘3’. Ad esempio, oltre a provare ad accedere usando la parola “password”, potrebbero anche tentare la variante “p@ssw0rd”.

Scegliere password complesse e imprevedibili è necessario per sventare questi attacchi. Utilizzando combinazioni uniche ed evitando schemi facilmente indovinabili, rendi difficile per gli aggressori indovinare la tua password.

Come i gestori di password migliorano la sicurezza

I gestori di password sono indispensabili per conservare e organizzare in modo sicuro le tue password. Questi strumenti offrono diversi vantaggi chiave:

  • Sicurezza: I gestori di password memorizzano le password e le inseriscono per te, eliminando la necessità per gli utenti di ricordarle tutte. Tutto ciò che gli utenti devono ricordare è la password principale per il loro strumento di gestione delle password. Pertanto, gli utenti possono utilizzare password lunghe e complesse come raccomandato dalle migliori pratiche senza preoccuparsi di dimenticare le loro password o ricorrere a pratiche insicure come scrivere le password o riutilizzare la stessa password per più siti o applicazioni.
  • Generazione di password: I gestori di password possono generare una password forte e unica per gli account utente, eliminando la necessità per gli individui di crearle.
  • Crittografia: I gestori di password criptano i vault delle password, garantendo la sicurezza dei dati — anche in caso di compromissione.
  • Comodità: I gestori di password consentono agli utenti di accedere facilmente alle password su più dispositivi.

Quando si sceglie un gestore di password, è importante considerare le esigenze specifiche della propria organizzazione, come il supporto per le piattaforme utilizzate, il prezzo, la facilità d'uso e la storia delle violazioni del fornitore. Effettuate ricerche e leggete recensioni per identificare quello che si allinea meglio con i requisiti della vostra organizzazione. Alcune opzioni degne di nota includono Netwrix Password Secure, LastPass, Dashlane, 1Password e Bitwarden.

Come l'Autenticazione Multifattore (MFA) Aggiunge un Ulteriore Strato di Sicurezza

L'autenticazione multifattore rafforza la sicurezza richiedendo due o più forme di verifica prima di concedere l'accesso. In particolare, è necessario fornire almeno due dei seguenti fattori di autenticazione:

  • Qualcosa che conosci: L'esempio classico è la tua password.
  • Qualcosa che possiedi: Di solito si tratta di un dispositivo fisico come uno smartphone o un token di sicurezza.
  • Qualcosa che sei: Si tratta di dati biometrici come l'impronta digitale o il riconoscimento facciale.

L'autenticazione a più fattori rende inutile una password rubata, quindi implementala ovunque sia possibile.

Gestione della scadenza delle password

Le politiche di scadenza delle password svolgono un ruolo cruciale nel mantenere una forte sicurezza delle password. Utilizzare un gestore di password che crea password complesse ha anche un'influenza sulla scadenza delle password. Se non utilizzi ancora un gestore di password, implementa una strategia per verificare tutte le password all'interno della tua organizzazione; con l'aumento dei data breach, gli elenchi di password (come il noto rockyou.txt e le sue varianti) utilizzati negli attacchi di forza bruta sono in costante crescita. Il sito web haveibeenpawned.com offre un servizio per controllare se una determinata password è stata esposta. Ecco cosa dovrebbero sapere gli utenti sulle migliori pratiche di sicurezza delle password relative alla scadenza delle password:

  • Seguire le linee guida delle politiche: Attieniti alla politica di scadenza delle password della tua organizzazione. Questo include cambiare la password quando richiesto e scegliere una nuova password forte che soddisfi i requisiti della politica.
  • Imposta promemoria: Se la tua organizzazione non impone la scadenza della password tramite notifiche, imposta i tuoi promemoria per cambiare la password quando è dovuto. Controlla regolarmente la tua email o le notifiche di sistema per gli avvisi.
  • Evitare schemi ovvi: Quando si cambia la propria password, astenersi dall'utilizzare variazioni della precedente o schemi prevedibili come “Password1,” “Password2” e così via.
  • Segnala attività sospette: Se noti qualsiasi attività sospetta dell'account o richieste di cambio password non autorizzate, segnalale immediatamente al servizio di assistenza IT o helpdesk della tua organizzazione.
  • Prestare attenzione alle email di reimpostazione della password: La prassi migliore per una buona sicurezza delle password implica essere consapevoli delle truffe. Se ricevi un'email inaspettata che ti invita a reimpostare la tua password, verifica la sua autenticità. Le email di phishing spesso imitano organizzazioni legittime per rubare le tue credenziali di accesso.

Sicurezza delle password e conformità

Gli standard di conformità richiedono la sicurezza delle password e le migliori pratiche di gestione delle password come mezzo per proteggere i dati, mantenere la privacy e prevenire l'accesso non autorizzato. Ecco alcune delle leggi che richiedono la sicurezza delle password:

  • HIPAA (Health Insurance Portability and Accountability Act): HIPAA impone che le organizzazioni sanitarie implementino misure di sicurezza per proteggere le informazioni sanitarie protette elettroniche (ePHI), che includono pratiche sicure per le password.
  • PCI DSS (Payment Card Industry Data Security Standard): PCI DSS richiede alle organizzazioni che gestiscono dati di carte di pagamento sul loro sito web di implementare controlli di accesso efficaci, inclusa la sicurezza delle password, per proteggere i dati dei titolari delle carte.
  • GDPR (Regolamento Generale sulla Protezione dei Dati): GDPR richiede alle organizzazioni che memorizzano o elaborano i dati dei residenti dell'UE di implementare misure di sicurezza adeguate per proteggere i dati personali. La sicurezza delle password è un aspetto fondamentale della protezione dei dati sotto GDPR.
  • FERPA (Family Educational Rights and Privacy Act): FERPA regola la privacy dei registri educativi degli studenti. Include requisiti per la sicurezza dell'accesso a questi registri, che comporta la sicurezza delle password.

Le organizzazioni soggette a questi standard di conformità devono implementare robuste password policies e le migliori pratiche di sicurezza delle password. Il mancato rispetto può comportare pesanti multe e altre penalità.

Esistono anche quadri volontari che aiutano le organizzazioni a stabilire politiche di password solide. Due dei più noti sono i seguenti:

  • NIST Cybersecurity Framework: L'Istituto Nazionale di Standard e Tecnologia (NIST) fornisce linee guida e raccomandazioni, incluse le migliori pratiche per le password, per migliorare la cybersecurity.
  • ISO 27001: ISO 27001 è uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Include requisiti relativi alla gestione delle password come parte del suo più ampio quadro di sicurezza.

Migliori pratiche per le password in azione

Ora, mettiamo in pratica queste migliori pratiche di sicurezza delle password con un esempio:

Supponiamo che tu ti chiami John Doe e che il tuo compleanno sia il 10 dicembre 1985. Invece di usare “JohnDoe121085” come password (che è facilmente indovinabile), segui queste buone pratiche per la creazione di password:

  • Crea una password lunga, unica (e impredicibile) come: “M3an85DJ121!”
  • Conservalo in un gestore di password di fiducia.
  • Abilita l'autenticazione a più fattori quando disponibile.

10 Best Practice per le Password

Se vuoi rafforzare la tua sicurezza, segui queste migliori pratiche per le password:

  • Rimuovere suggerimenti o autenticazione basata sulla conoscenza: NIST raccomanda di non utilizzare l'autenticazione basata sulla conoscenza (KBA), come domande del tipo “In quale città sei nato?” ma invece, utilizzare qualcosa di più sicuro, come l'autenticazione a due fattori.
  • Criptare le password: Proteggere le password con la crittografia sia quando sono memorizzate sia quando vengono trasmesse attraverso le reti. Questo le rende inutilizzabili per qualsiasi hacker che riesca a rubarle.
  • Evitare testi in chiaro e forme reversibili: Gli utenti e le applicazioni non dovrebbero mai memorizzare le password in testo in chiaro o in qualsiasi forma che possa essere facilmente trasformata in testo in chiaro. Assicurati che la tua routine di gestione delle password non utilizzi testo in chiaro (come in un file XLS).
  • Scegli password uniche per account diversi: Non utilizzare la stessa password, o anche variazioni della stessa, per account diversi. Cerca di creare password uniche per ogni account.
  • Utilizza una gestione delle password: Questo può aiutare a selezionare nuove password che soddisfano i requisiti di sicurezza, inviare promemoria per la scadenza imminente delle password e aiutare ad aggiornare le password tramite un'interfaccia user-friendly.
  • Applicare politiche di password forti: Implementare e far rispettare politiche di password forti che includano requisiti di lunghezza minima e complessità, insieme a una regola di cronologia delle password per prevenire il riutilizzo di password precedenti.
  • Aggiornate le password quando necessario: Dovreste controllare e – se i risultati lo indicano – aggiornare le vostre password per minimizzare il rischio di accesso non autorizzato, specialmente dopo violazioni dei dati.
  • Monitorare le attività sospette: Monitorare continuamente i tuoi account per attività sospette, inclusi i tentativi di accesso falliti multipli, e implementare blocchi degli account e allarmi per mitigare le minacce.
  • Educare gli utenti: Partecipare o condurre regolarmente formazione sulla consapevolezza della sicurezza per apprendere le migliori pratiche per le password, le minacce di phishing e l'importanza di mantenere password forti e uniche per ogni account.
  • Implementare politiche di scadenza delle password: Applicare politiche di scadenza che richiedano la modifica delle password in circostanze definite per migliorare la sicurezza.

Come Netwrix può aiutare

Aderire alle migliori pratiche per le password è fondamentale per proteggere le informazioni sensibili e prevenire l'accesso non autorizzato.

Netwrix Password Secure offre funzionalità avanzate per il monitoraggio delle politiche delle password, il rilevamento e la risposta ad attività sospette e la garanzia della conformità con le normative del settore. Con caratteristiche come allarmi in tempo reale, reportistica completa e un'interfaccia intuitiva, consente alle organizzazioni di identificare e affrontare proattivamente i rischi legati alle password, imporre politiche di password sicure e mantenere un'elevata sicurezza in tutto l'ambiente IT.

Conclusione

In un mondo in cui le minacce informatiche sono in costante evoluzione, attenersi alle migliori pratiche di gestione delle password è essenziale per proteggere la propria presenza digitale. Prima di tutto, crea una password forte e unica per ogni sistema o applicazione — ricorda che utilizzare un gestore di password rende molto più semplice attenersi a questa pratica migliore fondamentale. Inoltre, implementa l'autenticazione multifattore ogni volta che è possibile per contrastare qualsiasi attaccante che riesca a rubare la tua password. Seguendo queste linee guida, potrai godere di un'esperienza online più sicura e proteggere i tuoi preziosi beni digitali.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Come creare, modificare e testare le password utilizzando PowerShell

Utilizzando Windows Defender Credential Guard per proteggere le credenziali Privileged Access Management

Cos'è Microsoft LAPS: Come puoi migliorarne la sicurezza?

Passaggi per controllare i diritti di amministratore locale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza