Passw0rd. E con questo abbiamo (quasi) detto tutto...

Passw0rd. E con questo abbiamo (quasi) detto tutto...

Ancora oggi vengono create e usate password troppo poco complesse e ovvie come Passw0rd o 12345678.
Questo post è dedicato a uno dei pilastri fondamentali della Cyber Security.
Un esempio eclatante: la filiale nordamericana di una casa automobilistica giapponese ha impostato una password debole su un server contenente file sorgenti importanti per l’attività del gruppo.
La password? Admin.

L’errore commesso spesso dai CISO è invitare gli utenti a creare password complesse senza spiegare perché.

L’ennesimo post di consigli per una password robusta?
Sì, è vero, ma visto che gli utenti perseverano, crediamo che possa essere necessario fare un po’ di chiarezza per aiutare a proteggere la sicurezza delle informazioni aziendali.

Come impostare una password “robusta”

Vi proponiamo due soluzioni efficaci:

1 Aumentate la complessità
I caratteri dei quali si compone una password vengono distinti in 4 famiglie:

  • maiuscole (ABCD…)
  • minuscole (abcd…)
  • numeri (0123…)
  • caratteri speciali (.,!@) vale anche lo spazio
    Una password forte è composta da caratteri presenti in almeno 3 delle famiglie descritte sopra. La lunghezza deve avere un minimo di 12 caratteri, più ce n’è, meglio è.

2 Pensare la password come a una frase
Creare una password che rispetti i requisiti, aumentando di molto la sicurezza e la protezione dei dati è molto semplice: è sufficiente pensarla non come una parola ma come una frase.
Pensate ad almeno 4 parole creando un nesso logico: guancia (è tonda come una) mela (se la mangio evito il dottore e la sua) visita (al museo al museo a vedere la) stele: guanciamelavisitastele

3 Fondere i due metodi
È possibile fondere i due metodi generando una frase e sfruttandone solo una parte.
Ad esempio: il Minestrone? Non mi piace! Risultato: ilMi?nomipi!
È lunga 12 caratteri e ha i requisiti di 3 delle 4 famiglie.
Oppure: Il lunedì mattina bevo 3 caffè. Risultato: illUMabe3cé.
È lunga 12 caratteri, e di nuovo ha caratteri presenti in 3 famiglie.

Alcuni consigli e buone pratiche che stanno alla base della Cyber Security

  • Cambiare le password con regolarità almeno ogni 90 giorni o secondo le policy aziendali.
  • Non vanno condivise: L’Admin ha le sue credenziali che devono essere usate solo dalla persona preposta all’amministrazione del sistema. Lo stesso per gli utenti.
  • Non vanno lasciate in giro… Quante volte avete visto attaccati biglietti sui monitor con le password.
  • Non usate il nome del vostro gatto o del cane, soprattutto se adorate il vostro amico a quattro zampe e lo postate sui social ogni giorno. Lo stesso vale per il film preferito, figli, mogli, mariti e così via.
  • Non va usato il proprio codice fiscale
  • Non usare la stessa password su più sistemi
  • Siate creativi
  • Usare l’imprevedibilità


I rischi legati a password deboli possono essere fatali

Cosa fanno gli hacker? Usano diversi escamotage, due fra tutti:
Il Social Engineering sfrutta i social network e adotta espedienti come fingersi interlocutori al telefono o via e-mail per carpire informazioni, tra le quali anche dati che potrebbero condurre o ricondurre a password. Quindi niente password di cani o gatti per avere sotto controllo la sicurezza dei dati.

Attacchi Brute Force: sono programmi che effettuano un numero elevatissimo di combinazioni, sfruttando informazioni carpite da attività di Social Engineering per creare un elenco ad hoc. Questo attacco è utilizzato da hacker organizzati che viene messo in atto usando un PC dedicato poiché impiega molte ore a trovare la password corretta.
AD Consulting ha tra i suoi servizi professionali di Information Security anche Ethical Hacking, Web Application Penetration Test e Social Engineering Awareness.

Back to blog