Si fa presto a dire…password

Sicurezza

Sicuramente, lasciare all’utente la scelta della password può costituire un
rischio ed è meglio guidare l’operazione attraverso opportune policy

Le policy di sicurezza sono essenziali all’interno del programma di protezione complessiva dell’azienda perché permettono di definire gli obiettivi pur fornendo un’infrastruttura che aiuti a determinare il livello di sicurezza necessario per ogni aspetto del business. Una delle policy che rimane difficile da implementare è quella delle password, proprio perché impatta in maniera forte sulla comunità degli utenti: la responsabilità ricade infatti sull’individuo e la sua efficacia dipende dal rispetto della policy stessa. Con l’avvento della tecnologia Sso (single sign-on) anche questi ostacoli possono essere superati. Vediamo quindi, grazie alla consulenza di Maurizio Desiderio, Regional Sales Director Emea di Imprivata (www.imprivata.com) , quali sono i punti fondamentali da considerare nell’implementazione di una valida politica basta su Sso, per la definizione delle password aziendali.

Il problema delle password

Si pensa che il costo delle password sia pari a zero, ma nel corso degli anni la situazione si è complicata. Gli ambienti di elaborazione aziendali sono diventati più complessi, il numero di applicazioni si è moltiplicato così come il numero di password per accedervi.L’utente medio deve oggi ricordare tra le 7 e le 9 password che cambiano ogni due mesi circa. Non sorprende quindi il fatto che le password, anche senza cercare di implementare una strategia efficace, siano diventate l’incubo per molte organizzazioni a vari livelli, con i seguenti risultati:

– gli utenti sono frustrati dal dover ricordare troppe password

– l’help desk deve rispondere quotidianamente agli utenti che hanno perso la password (secondo Giga Information Group oltre il 30% dei costi dell’assistenza sono legati alle password). I budget sono ridotti all’osso e un singolo help desk può costare 25 o più dollari, secondo Meta Group, a cui vanno aggiunti i costi legati alla perdita di produttività quando gli utenti non possono accedere alle applicazioni necessarie per svolgere il loro lavoro.

La sicurezza è spesso compromessa dal fatto che foglietti con password sono lasciati in vista, consentendo a chiunque di utilizzarli per accessi non-autorizzati.

Le aziende devono risolvere queste problematiche per disporre di un’efficace password policy usufruibile da tutti.

I sei imperativi per un’efficace password policy

Non è necessario reinventare la ruota se si desidera sviluppare una policy efficace. Il modo migliore per partire è quello di prendere una policy esistente e modificarla in base alle esigenze aziendali (vedi http://www.sans.org/resources/policies/Password_Policy.pdf )

Anche se le specifiche legate a password policy forti variano necessariamente a seconda dell’azienda, le principali caratteristiche che influenzano l’efficacia delle regole sono:

Utilizzare password ?forti’

Quello che rende una password ?forte’ è la sua lunghezza e composizione. Le regole che identificano questo tipo di password prevedono una lunghezza minima di 8 caratteri alfanumerici, che compongono una parola che non si trova sul dizionario, che non sia correlabile all’utente (data di nascita, nomi di parenti o animali, ecc..). Ma, come molte aziende hanno avuto modo di verificare, le password policy forti aumentano sì la sicurezza, ma riducono l’usabilità: più la password è lunga, complessa e poco familiare, più difficile sarà ricordarla. Le aziende devono comprendere che se desiderano implementare una password policy efficace devono essere in grado di gestire sistemi operativi e applicazioni diversi, ognuno con regole differenti per quanto concerne lunghezza e composizione della password. Senza l’aiuto di una tecnologia come l’Sso, tutto questo può diventare difficile, sia per gli utenti che per gli amministratori. Se ci sono 12 sistemi, gli utenti devono ricordare e modificare 12 password. Allo stesso modo, il gestore del sistema deve impostare, mantenere e comprendere le password policy di tutti e 12 i sistemi, ognuno con le sue regole. Senza l’Sso che si occupa di automatizzare e applicare le password policy, l’helpdesk verrebbe rapidamente sommerso da chiamate legate alle password e gli utenti sarebbero potenzialmente frustrati.

Modificare le password frequentemente

Con maggiore frequenza una password è modificata, minore è la probabilità che questa sia compromessa, rubata o utilizzata per fini illeciti. La maggior parte degli esperti di sicurezza concorda nel ritenere che le password vadano modificate almeno ogni 90 giorni. E se questa policy da un lato aumenta la sicurezza, dall’altro rappresenta un vero e proprio impegno per l’utente. Come è possibile memorizzare 10 o 12 password differenti a intervalli diversi? E’ proprio in questi casi che le parole chiave siano appuntate su foglietti aumentando i rischi per la sicurezza. Per ottenere i loro obiettivi, i responsabili It devono trovare il giusto equilibrio tra sicurezza e usabilità. Senza una tecnologia come Sso, il carico sugli utenti è veramente pesante. In aggiunta, se una soluzione Sso sta automatizzando la policy di cambiamento delle password dietro le quinte, anche le modifiche quotidiane possono essere effettuate senza caricare l’help desk o l’utente.

Condurre audit periodici

Per applicare in maniera corretta un’efficace policy delle password, è fondamentale che i gestori controllino la conformità dell’organizzazione e di ciascun utente. Alcuni ambienti applicativi comprendono funzionalità per la creazione e la manutenzione di password forti che possono ridurre il carico amministrativo legato all’auditing evitando l’utilizzo di password deboli. Ma molti sistemi, soprattutto quelli più datati, non supportano questo genere di applicazione. La maggior parte degli esperti raccomanda di effettuare l’auditing delle password di questi sistemi di notte. Poiché la maggior parte delle aziende hanno un mix eterogeneo di sistemi operativi, l’auditing regolare per cercare password deboli può incrementare in modo significativo il carico sugli amministratori. La tecnologia Sso offre un unico evento di autenticazione primaria che può essere facilmente verificato e controllato rispetto alla policy. Poiché i password login applicativi sono automatici, è possibile rispettare policy di applicazioni specifiche senza l’intervento dell’utente. Non riutilizzare le password

Per alcuni utenti la soluzione ai frequenti cambiamenti di password è quella di riciclare sempre le stesse 3 o 4 parole. Anche se questo approccio è sicuramente più comodo per l’utente, le policy lo proibiscono. Ogni volta che una password è modificata dovrebbe essere nuova e unica e la password precedente abbandonata per sempre. Naturalmente, ciò rende le password più difficili da ricordare. Proteggere le password

Gli utenti devono comprendere l’importanza della protezione delle password e la loro segretezza. Una password non deve mai essere scritta e resa disponibile alle persone sbagliate. Non devono mai essere spedite per email o archiviate in forma elettronica senza crittografia. Alcune policy richiedono addirittura che le password non vengano comunicate per telefono o rivelate a chiunque in una conversazione. La tecnologia Sso può aiutare a mantenere la segretezza e la confidenzialità. Attraverso un unico sito centrale di credenziali, la soluzione Sso protegge le credenziali degli utenti e le rende disponibili agli utenti giusti in modo corretto.

Associare le policy al livello di sicurezza del singolo utente

Non esiste una regola univoca per la sicurezza. Anche se un’organizzazione ha un’unica password policy, i livelli di sicurezza dovrebbero essere adatti al ruolo che ciascun individuo ha all’interno dell’azienda. Per esempio, un system administrator che ha accesso a tutto avrà una password privilegiata, che potrebbe richiedere cambiamenti più frequenti rispetto a un utente medio. E, in molti casi, un system administrator potrebbe richiedere l’utilizzo di un token o di una smart card per accedere a determinati sistemi. Un manager potrebbe autenticarsi con l’impronta digitale per accedere i dati aziendali confidenziali. E’ importante che le policy siano create tenendo conto di questo genere di flessibilità. La tecnologia Sso può automatizzare le password policy per tutti i tipi di utenti, senza introdurre problemi di usabilità. Offre inoltre il vantaggio di regole facili da applicare e utilizzare per tutti.

Conclusioni

Lasciare la definizione delle password locali agli utenti può costituire un rischio per l’intera struttura di sicurezza aziendale. Il fatto che oggi l’utente medio debba ricordare tra le 7 e le 9 password che cambiano ogni due mesi circa, ha agevolato la nascita di pratiche piuttosto rischiose, come la secelta di password legate alla sfera personale (date di nascita o nomi legati all’ambito famigliare), rotazione delle stesse password, scrittura delle password su foglietti e/o agende. Occorre quindi guidare la definizione delle password aziendali attraverso opportune Policy. Grazie all’aiuto di Maurizio Desiderio, Regional Sales Director Emea di Imprivata, abbiamo analizzato i sei punti principali per la realizzazione di una robusta politica di definizione delle password aziendali basata sulla tecnologia SSO (single sign-on).

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore