Il termometro sulla sicurezza

Sicurezza

Una serie di linee guida proposte dal Sans Institute per implementare una
politica aziendale di generazione e gestione delle password

Sans Institute torna a parlare di password. L’istituto pubblica periodicamente bollettini sullo stato delle minacce alla sicurezza informatica, promuove studi di approfondimento e propone linee guida per l’aumento della sicurezza dei sistemi informativi aziendali e privati. Le password sono la prima linea di difesa di qualsiasi sistema informativo, proteggendo i punti di accesso perimetrali, che sono una spina nel fianco per l’intera struttura di sicurezza. La password di un pc (o indifferentemente di un server) può essere paragonata alla chiave della porta di casa. Normalmente la chiave di casa non è l’unico strumento di protezione e l’abitazione è protetta anche da altri sistemi di sicurezza, come la blindatura della porta e delle serrande, o da un sistema di allarme elettronico. Allo stesso modo anche un sistema informatico, oltre alla password dei sistemi, adotta normalmente numerose altre soluzioni di sicurezza. Comunque sia, è indubbio che la chiave per l’abitazione e la password per i pc rappresentano il primo baluardo di difesa contro gli accessi non autorizzati. Più le chiavi d’accesso risultano complesse e robuste, più tempo perderanno eventuali malintenzionati a neutralizzarle, aumentando significativamente il rischio di essere individuati. Ecco quindi perchè una password scelta con superficialità o non sufficientemente robusta può compromettere l’integrità dell’intero sistema di sicurezza.

In pratica

Lo scopo delle policy proposte nel seguito è quello di suggerire uno standard per la creazione di password ‘robuste’, per la loro protezione e per la frequenza dei cambi. L’ambito di queste policy vale per tutto il personale aziendale che possiede o che è responsabile di un account (o di ogni possibile forma di accesso ai sistemi informativi che richiede l’utilizzo una password), su un qualsiasi sistema che risiede all’interno delle proprietà aziendali, ha accesso alla rete aziendale oppure contiene dati sensibili per i quali l’azienda è responsabile del trattamento. Ecco quindi in pratica una serie di policy di base sulle quali sviluppare le strategie aziendali per la gestione delle password.

– Tutte le password di sistema dovrebbero essere cambiate almeno su base trimestrale

– Tutte le password a livello utente dovrebbero essere cambiate

almeno ogni semestre anche se, la frequenza di sostituzione che viene raccomandata è di quattro mesi

– Gli account utente che possiedono privilegi a livello sistema, garantiti attraverso l’appartenenza a gruppi o programmi di accesso remoto devono possedere una password unica rispetto tutti gli altri account attribuiti allo stesso utente

– Le password non devono mai essere inserite all’interno di messaggi di posta elettronica o in qualsiasi altra forma di comunicazione elettronica

– Tutte le password di sistema e a livello utente dovrebbero essere aderenti alle linee guida definite a livello aziendale e per le quali, si propone di seguito una possibile traccia.

Linee guida per la creazione di password robuste

Password deboli e/o poco sicure sono caratterizzate dalle seguenti caratteristiche:

– La password è composta da meno di otto caratteri – La password è composta da una parola trovata (o contenuta) in un vocabolario (italiano o straniero che sia)

– La password è composta da una parola di uso comune, come per esempio:

  • Nomi di famigliari, animali posseduti, colleghi, etc.
  • Termini informatici, comandi del sistema operativo, società, componenti hardware o software
  • Il nome della società o qualsiasi altra combinazione che comunque lo contiene
  • La data del proprio compleanno o di un qualsiasi famigliare, le date di particolari ricorrenze, qualsiasi
  • Informazione personale come per esempio l’indirizzo o il numero di telefono
  • Schemi ripetuti di numeri e/o lettere come per esempio: aaabbb, qwerty, zyxwvuts, 123321, etc.
  • Uno qualsiasi degli esempi precedenti scritti al contrario
  • Uno qualsiasi degli esempi precedenti fatto precedere o seguire da un numero (ex. pippo1, 1pippo)

Password forti e sicure sono invece caratterizzate dalle seguenti caratteristiche:

– Contengono sia caratteri minuscoli sia caratteri maiuscoli – Oltre alle lettere COntengono almeno una cifra e/o un carattere speciale (ex. !@#$%^&*()_+|~- =”{}[]:”;'<>?,./) – Sono lunghe almeno otto caratteri – Non sono costituite (o non contengono) parole di uso comune o comunque individuabili all’interno di dizionari, modi di dire, slang e dialetti – Non sono basate su informazioni personali – Le password non devono essere scritte su alcun supporto, sia cartaceo sia elettronico. Per tale motivo dovrebbero essere scelte in modo che possano essere ricordate facilmente. Un possibile sistema potrebbe essere quello di scegliere la password basandosi sul titolo di una canzone, su un’affermazione o su altre frasi. Per esempio, la frase potrebbe essere: ‘non devo iniziare a dimenticare le password’. La password potrebbe quindi essere composta dalla combinazione dei primi caratteri di ogni parola, alternando lettere maiuscole con lettere minuscole e sostituendo il numero 1 al posto della lettera i. La nostra password scelta con il metodo appena illustrato diventerebbe quindi: Nd1AdLp.

Standard per la protezione delle password

Ecco di seguito altre semplici regole proposte per garantire il giusto grado di protezione alle password utilizzate

– Non utilizzare la stessa password sia per gli account appartenenti all’azienda, sia per quelli che non vi appartengono – In genere non utilizzare la stessa password per le diverse esigenze di accesso aziendali. In base a questa considerazione sarà quindi necessario dotare i sistemi destinati alla contabilità con una password, quelli destinati ai servizi IT di una password differente, quelli del reparto grafico con un’altra password ancora e così via. – Dovrebbero essere utilizzate password differenti anche per accedere a server con sistemi operativi diversi. Ecco quindi che sarà necessario prevedere una parola d’accesso per i sistemi server basati su sistema operativo Windows e una password differente per accedere a server Linux. – NON condividere assolutamente le password con nessuno, compresi i responsabili amministrativi e/o le segretarie.

Tutte le password utilizzate in azienda devono essere trattate come informazioni riservate e confidenziali, e per tale motivo sono soggette alle seguenti regole:

– NON rivelare la password a nessuno via telefono – NON rivelare la password in messaggi email – NON rivelare la password al capo – NON parlare della propria password di fronte ad estranei – NON accennare a nessuno l’ambito di provenienza della password (ex. ambito famigliare, lavorativo, ecc) – NON inserire la password in alcun tipo di questionario o form – NON condividere la propria password con i membri della famiglia – NON rivelare la password a colleghi durante il periodo in cui ci si assenta per periodi di ferie

Inoltre, anche se potrebbe sembrare ovvio, è assolutamente da evitare l’abitudine di scrivere le password su foglietti, in documenti sul computer oppure attivare la funzione di memorizzazione password resa disponibile da alcuni applicativi. Inoltre, evitate di memorizzare le password utilizzate su dispositivi portatili come i palmari e/o i cellulari, a meno che non venga utilizzato un sistema di codifica per criptare i dati contenuti sui dispositivi mobili.

Conclusioni

La password utilizzata per accedere ai sistemi informativi aziendali rappresenta il primo importante baluardo di difesa contro attacchi e intrusioni. Purtroppo spesso e volentieri la creazione e la gestione di questo importante strumento di difesa viene affidato all’elemento umano, che già di per sè rappresenta l’elemento debole di ogni struttura difensiva. La pigrizia, il sottovalutarne l’importanza, la disattenzione sono tutte cause che possono invalidare la funzione della password, e di conseguenza l’intera struttura di sicurezza aziendale. Ecco quindi perchè è indispensabile stabilire un’insieme di rigide regole a livello aziendale, che guidino gli utenti a un utilizzo più sicuro e consapevole delle password. Non vi è nulla da inventare ed è possibile affidarsi, o utilizzare come base, insiemi di best practice già esistenti, come quella proposta dal Sans Institute analizzata nel corso dell’articolo.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore