70

    ITCInstitute AntiPhishingWorkingGroup  ISMSIUG    

PRODOTTI E SOLUZIONI DI SICUREZZA
SOLUZIONI DI SICUREZZA E PROTEZIONE
EXTRANET
CHI E' GLOBALTRUST
LAVORO
STAMPA
EVENTI
RISORSE & DOCUMENTAZIONE LEGALE
LEGGI E NORMATIVE
TRAINING E MASTER UNIVERSITARI
CONVENZIONI E ACCORDI
SUPPORTO
DOWNLOAD EVALUATIONS
PARTNERS
NEWS & SECURITY
I NOSTRI CLIENTI
Trust Site Seal Program


Real Privacy Online

SUGGERIMENTI PASSWORD

Suggerimenti sull'utilizzo delle Password

Nella lontana epoca di Internet – prima che esistessero così tante minacce e punti deboli nelle applicazioni Web – le password robuste erano la soluzione di sicurezza. Ciò era specialmente vero in Windows, subito dopo che si scoprì com'era facile individuare  le password LANMan in NT. Anche oggi sembra che tutti (esperti IT e non) abbiano la propria opinione su cosa serve per creare le password e renderle più sicure . Secondo l'opinione generale, usando lettere maiuscole, minuscole, numeri, caratteri speciali e una lunghezza compresa almeno tra i sette e gli otto caratteri, trovare la nostra password diventa magicamente impossibile.

Non è vero .

Ogni anno, per verificare la presenza di punti deboli nelle password, viene testato un numero elevato  di workstation Windows standalone, server e domini. Tutti gli amministratori di retesono concordi nel dire di essere  consapevoli della debolezza delle password, ma la maggior parte di loro non ha idea di quanto il problema sia diffuso. Stando a quantosi è visto, bastano pochi semplici tentativi per indovinare la maggior parte delle password che presumibilmente soddisfano i requisiti "generalmente accettati" – uno sforzo piuttosto ridotto, che può avere un riscontro economico notevole per coloro che con poche tentativi le password vengono  intercettate.

Gli amministratori di rete devono lottare contro vere sfide alla sicurezza delle password. Molte di esse finiscono per diventare punti deboli gravi della sicurezza, che comportano rischi che le aziende spesso non sono in grado di fronteggiare. Di seguito sono presentati alcuni tra i più frequenti luoghi comuni relativi alla gestione delle password e un paio di idee su come migliorare il livello di sicurezza di Windows.

  1. Assegnando una password a ogni utente si mantengono sicure le workstation .
  2. Avere rigide norme di sicurezza fisica protegge i sistemi da sniffer e hacker.
  3. La gestione superiore non può costringere gli utenti a ricordare password complesse, e non potrà quindi fare altro che accettare la possibili ripercussioni.
  4. Costringere gli utenti a cambiare spesso password garantisce la sicurezza di Windows.
  5. Controllo sicurezza password.
  6. C' è una enorme letteratura in merito libri interi si sono scritti sulle password 

 #1: Assegnando una password a ogni utente si mantengono sicure le workstation . (top)

Grande errore. Responsabilità e consapevolezza devono essere rimesse al controllo degli utenti. Altrimenti che incentivo avrebbero a fare meglio? Vogliamo sottolineare che non ho detto che l'applicazione delle policy relative alle password debba essere messa nella responsabilità dell'utente. Le decisioni relative alla sicurezza non dovrebbero mai essere messe nelle mani degli utenti. Piuttosto , è bene rafforzare le password robuste tramite policy scritte, GPO o altro sistema di gestione delle password, così come i sistemi di auditing in uso . Che cosa succede, inoltre, quando un criminale o un ex amministratore di rete viola l'account di un utente ?.  Difficilmente c'è un audit trail che possa documentarlo.

 #2: Avere rigide norme di sicurezza fisica protegge i sistemi da sniffer e hacker. (top)

Che succede quando l'autenticazione per interfacce Web interne Citrix NFuse, le applicazioni Web e altri sistemi sono collegati in un account di dominio Windows? Il problema della password, che un tempo era una questione puramente interna cambia e è divene di risonanza mondiale. È un problema molto, molto serio, che colpisce un numero sempre maggiore di sistemi.

 #3: La gestione superiore non può costringere gli utenti a ricordare password complesse, e non potrà quindi fare altro che accettare la possibili dimenticanze. (top)

La maggior parte degli amministratori e dei dirigenti non si rendono davvero conto della gravità del problema. Credono che ci si possa fidare di tutti gli utenti, che nessuno di loro condivida la propria password, e che non ci sia molto da perdere se l'account di un utente è compromesso ed  in pericolo.

Ecco un trucco per capire il problema : effettuare un normale login con le credenziali di base di un utente , si potrà vedere lato server cosa succede . Effettuare una ricerca testuale di base, cercando parole come "ssn," "carta di credito," "dob" e altre termini a cui gli utenti possono avere accesso. Il risultato convincerà anche i più scettici che c'è un problema di sicurezza - specialmente in concomitanza con le vulnerabilità tecniche citate nel paragrafo precedente .

 #4: Costringere gli utenti a cambiare spesso password garantisce la sicurezza di Windows. (top)

Questo è uno dei luoghi comuni più diffusi. Qual è la tendenza umana più naturale quando non riusciamo a memorizzare le password nuove – specie quelle multiple che si devono cambiare ogni 30, 60 o 90 giorni? Ce le scriviamo. È un comportamento molto difficile da evitare se gli utenti sono costretti a sostenere una prova così irrealistica in nome della sicurezza. La soluzione in questo caso è creare password robuste, ma facili da ricordare (o ancor meglio creare delle passphrase ). Se non sono mai state condivise e non esiste il sospetto che siano state violate, perché cambiarle spesso ? Questo è il nostro consiglio.

Fino a quando dovremo usare le password per le nostre esigenze informatiche, credo che le passphrase siano l'unica soluzione plausibile . È giusto fare affidamento sull'idea dei caratteri maiuscoli/minuscoli/numerici/speciali, ma è bene creare passphrase lunghe, impossibili da rompere e facili da ricordare. Una volta spiegato tutto con parole semplici e dopo aver fatto qualche esempio,tutti capiranno che questa è la strada da percorrere .

UTILITIES #5: Controllo sicurezza password. (top)

Microsoft ed anche altri hanno scritto delle utility per provare la sicurezza delle password molto semplici da usare eccole qui di seguito: MICROSOFT , PASSWORDMETER , esistono anche dei generatori di password più o meno complessi basta cercare nella rete, per un eccesso di prudenza, che non è mai troppa, provare la password nella rete con una simile in caratteri numeri ecc. NON LA VERA PASSWORD.

Letteratura #6: C' è una enorme letteratura in merito libri interi si sono scritti sulle password . (top)

Molto si è scritto sulle password sin dai tempi antesignani ad Internet  ecco alcuni utili testi e scritti: Internet Password Organizer