Cinque best practice per la gestione delle password aziendali

Mentre le organizzazioni continuano a dare priorità alla sicurezza, una parte importante di questo impegno consiste nel formare e responsabilizzare gli utenti generici sulle best practice. Considera alcune di queste statistiche tratte dallo Yubico 2019 State of Password and Security Authentication Security Behaviors Report:

• 2 intervistati su 3 condividono le password con i colleghi

• Il 51% dei partecipanti ha dichiarato di riutilizzare le password su account personali e aziendali

• Il 57% ha dichiarato di non aver cambiato le proprie password dopo aver subito un tentativo di phishing

Per introdurre un cambiamento in azienda, i team di sicurezza e IT devono formare i dipendenti sulle best practice. Per quanto riguarda la gestione delle password, uno dei modi più semplici per incoraggiare una buona igiene delle password è implementare una soluzione di gestione delle password in tutta l’organizzazione. Ecco alcune best practice da adottare.

Durante la giornata, la maggior parte delle persone visita molti siti diversi che richiedono password. Memorizzare molte password (o passphrase) univoche e sufficientemente robuste è praticamente impossibile. Un gestore di password semplifica l’uso delle password su siti diversi, contribuendo a mantenere gli utenti più al sicuro. Esistono diversi gestori di password validi. Dai priorità a quelli multipiattaforma e che offrono servizi gratuiti o a costi molto contenuti per i singoli utenti. Nel corso degli anni, anche le funzionalità della maggior parte dei gestori di password si sono ampliate.

I gestori di password devono essere facili da usare per ogni livello di utente, dal principiante all’esperto. Quando si considera una base di dipendenti ampia o distribuita, le applicazioni devono essere intuitive per l’utente e facili da implementare. Ad esempio, sia che tu scelga Bitwarden Cloud sia che implementi la tua istanza self-hosted, configurare e avviare Bitwarden è semplice. Inoltre, Bitwarden Directory Connector funziona con i servizi di directory oggi più utilizzati, come Azure, Active Directory, Google, Okta e altri, per mantenere gli utenti Bitwarden sincronizzati con team e dipendenti.

I tempi in cui si cambiavano le password ogni tre mesi sono finiti. Ora dovresti cambiarle solo se pensi di essere stato compromesso. Il National Institute of Standards and Technology (NIST) non consiglia agli utenti di cambiare spesso le password. Questo porta infatti a comportamenti che, nel tempo, possono tradursi in password più deboli. Puoi stabilire se una password è stata compromessa facendo riferimento a prove concrete, come frodi con carte di credito, oppure usando uno strumento (come il tuo gestore di password) in grado di indicare se la tua password è stata esposta in una violazione.

Usare password robuste e univoche per ogni servizio online aiuta a ridurre al minimo l’impatto delle violazioni dei dati. Una password robusta non significa necessariamente aggiungere caratteri speciali o numeri a una parola o a un nome comune: significa aumentare l’entropia, o casualità, della password. Una tattica semplice per creare una password robusta è usare una passphrase. Una passphrase combina parole o frasi apparentemente non correlate, facili da ricordare per l’utente ma altrimenti difficili da indovinare per un malintenzionato. Le passphrase hanno un elevato grado di entropia e sono anche facili da ricordare.

Con l’autenticazione a due fattori (2FA) sempre più diffusa sui siti web consumer e aziendali, un buon gestore di password includerà modi per estendere questa funzione. L’uso della 2FA aumenta la sicurezza del tuo account richiedendoti di inserire un altro token oltre alla password principale. Anche se qualcuno dovesse scoprire la tua password principale, non potrebbe accedere al tuo gestore di password senza avere accesso al token aggiuntivo. Se vuoi iniziare a usare un gestore di password, puoi registrarti per un account Bitwarden gratuito qui.