Report 2025 sullo stato della sicurezza delle password

Punti chiave di questo articolo:

• Eccellenza tecnica del NIST: Il NIST fornisce solide indicazioni tecniche a supporto dei gestori di password come Bitwarden, ma manca di una presentazione intuitiva per gli utenti.

• Leadership comunicativa della CISA: La CISA raggiunge il livello "Eccellente" raccomandando chiaramente i gestori di password e creando risorse di sicurezza accessibili.

• Adozione disomogenea: Le agenzie federali mostrano variazioni significative nelle indicazioni sulla sicurezza delle password e nelle raccomandazioni sui gestori di password.

• Trend di miglioramento positivi: Un'analisi quadriennale mostra che le agenzie stanno migliorando le raccomandazioni sulla sicurezza delle password per allinearsi alle pratiche supportate da Bitwarden.

• Consenso in crescita: Le agenzie federali riconoscono sempre più che soluzioni come Bitwarden forniscono un'infrastruttura di sicurezza essenziale.

Negli ultimi anni il governo federale degli Stati Uniti ha posto grande attenzione alla cybersecurity. Molte agenzie stanno guidando l'educazione di organizzazioni governative, aziende grandi e piccole e consumatori.

Tuttavia, non tutte le agenzie seguono la stessa linea quando si tratta di sicurezza delle password. Uno dei principali organismi, il National Institute of Standards and Technology (NIST), “sviluppa standard, linee guida, best practice e altre risorse di cybersecurity per soddisfare le esigenze dell'industria statunitense, delle agenzie federali e del pubblico in generale”.

La pagina del NIST sulla cybersecurity prosegue affermando che “alcuni incarichi del NIST in materia di cybersecurity sono definiti da leggi federali, ordini esecutivi e policy. Ad esempio, l'Office of Management and Budget (OMB) impone a tutte le agenzie federali di implementare gli standard e le linee guida di cybersecurity del NIST per i sistemi non destinati alla sicurezza nazionale”.

Purtroppo, le raccomandazioni del NIST non sono ancora state accettate e implementate universalmente da tutte le agenzie federali. Sebbene il NIST stabilisca gli standard che le agenzie dichiarano di seguire, presenta anche una propria debolezza: un sito web disorganizzato.

Il 2025 segna il quarto anno in cui Bitwarden conduce questa analisi. Quest'anno la NSA è passata da una valutazione "Buona" a "Molto buona" grazie all'aggiunta della raccomandazione sui gestori di password. Il punteggio della CISA è salito da "Molto buono" a "Eccellente" rendendo le informazioni più facili da trovare e comprendere. Il sito web del NIST è rimasto disorganizzato, sebbene i suoi contenuti siano molto validi. Nel corso degli anni, molte agenzie hanno registrato un andamento positivo nelle raccomandazioni sulla sicurezza delle password e nella postura complessiva di cybersecurity, tra cui CISA, FBI, FTC e SBA.

La tecnologia avanza rapidamente. Per aziende e persone, gran parte della nostra vita è ormai online in una miriade di account, dai siti di intrattenimento ai servizi finanziari più seri, come i conti bancari.

Questa valutazione mira a coinvolgere e istruire chiunque utilizzi password sulle best practice provenienti dal governo federale e sugli ambiti in cui c'è margine di miglioramento. Molti all'interno del governo federale adottano un solido approccio educativo alla sicurezza delle password, mentre altri potrebbero aver bisogno di un po' di supporto per modernizzarsi.

Fortunatamente, si sta formando un consenso sulle best practice per la sicurezza delle password. Questo report ne consolida e valuta i dettagli.

Il sistema di valutazione classifica le agenzie in base all'aderenza ai seguenti criteri:

• Raccomanda l'uso di un gestore di password

• Sottolinea l'importanza di password robuste

• Evidenzia la necessità di 2FA/MFA per rafforzare ulteriormente la sicurezza delle password

• I consigli generali di sicurezza sono aggiornati e conformi alle linee guida del NIST

• Presenta le raccomandazioni sulla sicurezza delle password in modo chiaro, comprensibile e facile da trovare

• Raccomanda l'uso di un gestore di password

• Sottolinea l'importanza di password robuste

• Evidenzia la necessità di 2FA/MFA per rafforzare ulteriormente la sicurezza delle password

• Le indicazioni generali sulla sicurezza sono aggiornate e conformi alle linee guida NIST

• Non presenta le raccomandazioni sulla sicurezza delle password in modo chiaro, comprensibile e facile da trovare

• Non raccomanda l'uso di un gestore di password

• Sottolinea l'importanza di password robuste

• Indica la necessità della 2FA/MFA per rafforzare ulteriormente la sicurezza delle password

• Le indicazioni generali sulla sicurezza non sono aggiornate e non sono conformi alle linee guida NIST

• Non presenta le raccomandazioni sulla sicurezza delle password in modo chiaro, comprensibile e facile da trovare

• Non raccomanda l'uso di un gestore di password

• Sottolinea l'importanza di password robuste

• Non indica in modo coerente la necessità della 2FA/MFA per rafforzare ulteriormente la sicurezza delle password

• Le indicazioni generali sulla sicurezza non sono aggiornate e non sono conformi alle linee guida NIST

• Non presenta le raccomandazioni sulla sicurezza delle password in modo chiaro, comprensibile e facile da trovare

• Non raccomanda l'uso di un gestore di password

• Non sottolinea l'importanza di password robuste

• Non indica la necessità della 2FA/MFA per rafforzare ulteriormente la sicurezza delle password

• Le indicazioni generali sulla sicurezza non sono aggiornate e non sono conformi alle linee guida NIST

• Non presenta le raccomandazioni sulla sicurezza delle password in modo chiaro, comprensibile e facile da trovare

Indicazioni dell'agenzia:

• Gestione degli autenticatori | Gestori di password

  • Utilizzare [Assegnazione: gestori di password definiti dall'organizzazione] per generare e gestire le password; e

    • Proteggere le password utilizzando [assegnazione: controlli definiti dall'organizzazione].

    • Per i sistemi in cui vengono impiegate password statiche, spesso è difficile garantire che le password siano adeguatamente complesse e che le stesse password non siano utilizzate su più sistemi. Un gestore di password è una soluzione a questo problema poiché genera e archivia automaticamente password robuste e diverse per vari account. Un potenziale rischio dell'uso dei gestori di password è che gli avversari possano prendere di mira l'insieme delle password generate dal gestore di password. Pertanto, l'insieme delle password richiede protezione, inclusa la cifratura delle password e l'archiviazione dell'insieme offline in un token.

• Riferimento

Indicazioni dell'agenzia:

• Una password (talvolta denominata passphrase o, se numerica, PIN) è un valore segreto destinato a essere scelto e memorizzato o registrato dal sottoscrittore. Le password devono avere complessità e segretezza sufficienti da rendere impraticabile per un attaccante indovinare o scoprire in altro modo il valore segreto corretto. Una password è “qualcosa che si conosce”.

• I requisiti di questa sezione si applicano alle password verificate centralmente che vengono utilizzate come fattori di autenticazione indipendenti e inviate tramite un canale protetto autenticato al verificatore di un CSP. Le password utilizzate localmente come fattore di attivazione per un autenticatore multifattore sono definite segreti di attivazione e trattate nella Sez. 3.2.10.

• Le password DEVONO essere scelte dal sottoscrittore oppure assegnate in modo casuale dal CSP.

• Se il CSP non consente una password scelta perché è inclusa in una lista di blocco di valori comunemente usati, prevedibili o compromessi (vedere Sez. 3.1.1.2), al sottoscrittore DEVE essere richiesto di scegliere una password diversa. Altri requisiti di complessità per le password NON DEVONO essere imposti. Una motivazione di ciò è presentata in Appendice A, Robustezza delle password.

• I seguenti requisiti si applicano alle password:

• I verificatori e i CSP DEVONO richiedere che le password siano lunghe almeno otto caratteri e DOVREBBERO richiedere che le password siano lunghe almeno 15 caratteri.

• I verificatori e i CSP DOVREBBERO consentire una lunghezza massima della password di almeno 64 caratteri.

• I verificatori e i CSP DOVREBBERO accettare tutti i caratteri ASCII stampabili [RFC20] e il carattere spazio nelle password. I verificatori e i CSP DOVREBBERO accettare caratteri Unicode [ISO/ISC 10646] nelle password. Ogni punto di codice Unicode DEVE essere contato come un singolo carattere nella valutazione della lunghezza della password.

• I verificatori e i CSP NON DEVONO imporre altre regole di composizione (ad es. richiedere combinazioni di tipi di caratteri diversi) per le password.

• I verificatori e i CSP NON DEVONO richiedere agli utenti di modificare periodicamente le password. Tuttavia, i verificatori DEVONO imporre una modifica se vi sono prove di compromissione dell'autenticatore.

• I verificatori e i CSP NON DEVONO consentire al sottoscrittore di memorizzare un suggerimento accessibile a un richiedente non autenticato.

• I verificatori e i CSP NON DEVONO invitare i sottoscrittori a utilizzare l'autenticazione basata su conoscenza (KBA) (ad es. “Qual era il nome del tuo primo animale domestico?”) o domande di sicurezza durante la scelta delle password.

• I verificatori DEVONO verificare l'intera password inviata (ossia non troncarla).

• Durante l'elaborazione di una richiesta di impostazione o modifica di una password, i verificatori DEVONO confrontare il segreto proposto con una lista di blocco che contiene password note comunemente usate, prevedibili o compromesse. L'intera password DEVE essere sottoposta al confronto, non sottostringhe o parole che potrebbe contenere. Ad esempio, l'elenco PUÒ includere, a titolo esemplificativo ma non esaustivo:

  • Password ottenute da precedenti corpora di violazioni

  • Parole del dizionario

  • Parole specifiche del contesto, come il nome del servizio, il nome utente e i relativi derivati

  • Se la password scelta è presente nella lista di blocco, il CSP o il verificatore DEVE richiedere al sottoscrittore di selezionare un segreto diverso e DEVE fornire il motivo del rifiuto. Poiché la lista di blocco viene utilizzata per difendersi dagli attacchi a forza bruta e i tentativi non riusciti sono soggetti a limitazione della frequenza, come descritto di seguito, la lista di blocco DOVREBBE essere di dimensioni sufficienti a impedire ai sottoscrittori di scegliere password che gli aggressori potrebbero probabilmente indovinare prima di raggiungere il limite di tentativi.

• I verificatori DEVONO offrire indicazioni al sottoscrittore per assistere l'utente nella scelta di una password robusta. Ciò è particolarmente importante dopo il rifiuto di una password presente nella lista di blocco, poiché scoraggia modifiche banali di password deboli incluse nell'elenco [Liste di blocco].

• I verificatori DEVONO implementare un meccanismo di limitazione della frequenza che limiti in modo efficace il numero di tentativi di autenticazione non riusciti che possono essere effettuati sull’account dell’abbonato, come descritto nella Sez. 3.2.2.

• I verificatori DEVONO consentire l’uso di gestori di password. I verificatori DOVREBBERO consentire ai richiedenti di usare la funzionalità “incolla” durante l’inserimento di una password per facilitarne l’uso. È stato dimostrato che i gestori di password aumentano la probabilità che gli utenti scelgano password più robuste, in particolare se includono generatori di password [Managers].

• I verificatori DEVONO archiviare le password in una forma resistente agli attacchi offline. Le password DEVONO essere sottoposte a salting e hashing utilizzando uno schema di hashing delle password adeguato. Gli schemi di hashing delle password prendono in input una password, un salt e un fattore di costo e generano un hash della password. Il loro scopo è rendere ogni tentativo di indovinare la password più costoso per un attaccante che abbia ottenuto un file di password sottoposte a hashing, rendendo così il costo di un attacco per tentativi elevato o proibitivo. Il fattore di costo scelto DOVREBBE essere il più alto possibile senza incidere negativamente sulle prestazioni del verificatore. Esso DOVREBBE essere aumentato nel tempo per tenere conto dell’aumento delle prestazioni di calcolo. Dovrebbe essere utilizzato uno schema di hashing delle password approvato, pubblicato nell’ultima revisione di [SP800-132] o nelle linee guida NIST aggiornate sugli schemi di hashing delle password DOVREBBE essere utilizzato. La lunghezza di output scelta del verificatore della password, esclusi il salt e le informazioni di versionamento, DOVREBBE essere uguale alla lunghezza dell’output dello schema di hashing delle password sottostante.

• Il salt DEVE avere una lunghezza di almeno 32 bit ed essere scelto in modo da ridurre al minimo le collisioni dei valori di salt tra gli hash archiviati. Sia il valore del salt sia l’hash risultante DEVONO essere archiviati per ciascuna password. Per ciascuna password, DOVREBBE essere archiviato un riferimento allo schema di hashing delle password utilizzato, incluso il fattore di lavoro, per consentire la migrazione a nuovi algoritmi e fattori di lavoro. Ad esempio, per la Password-Based Key Derivation Function 2 (PBKDF2) [SP800-132], il fattore di costo è un conteggio delle iterazioni: più volte viene iterata la funzione PBKDF2, più tempo occorre per calcolare l’hash della password.

• Inoltre, i verificatori DOVREBBERO eseguire un’ulteriore iterazione di un’operazione di hashing con chiave o di cifratura utilizzando una chiave segreta nota solo al verificatore. Se utilizzato, questo valore di chiave DEVE essere generato da un generatore di bit casuali approvato, come descritto nella Sez. 3.2.12. Il valore della chiave segreta DEVE essere archiviato separatamente dalle password sottoposte a hashing. Esso DOVREBBE essere archiviato e utilizzato all’interno di un’area protetta da hardware, ad esempio un modulo di sicurezza hardware o un ambiente di esecuzione attendibile (TEE). Con questa iterazione aggiuntiva, gli attacchi brute force alle password sottoposte a hashing sono impraticabili finché il valore della chiave segreta rimane segreto.

• Serie di blog per il Mese della consapevolezza sulla cybersicurezza 2023

  • Consigli dell’agenzia

    • Le password sono ancora il meccanismo di autenticazione più utilizzato per ottenere l’accesso a risorse di interesse. Le password sono la prima linea di difesa per proteggere la riservatezza e l’integrità dei dati da criminali informatici e violazioni dei dati. Password valide e robuste aiutano le persone a restare sicure e tutelare la propria privacy online.

• Riferimento

• Riferimento

Consigli dell’agenzia:

• Usa password robuste

  • Crea password lunghe, casuali e uniche con un password manager per account più sicuri.

• Un modo semplice per proteggere i tuoi account

  • Le password semplici, come 12345, o le informazioni identificative comuni, come date di nascita e nomi di animali domestici, non sono sicure per proteggere account importanti che contengono informazioni personali. Usare una password facile da indovinare è come chiudere la porta a chiave ma lasciare la chiave nella serratura. Le password deboli possono essere violate rapidamente dagli hacker. Ma è impossibile ricordare una password robusta e unica per ogni account!

  • La buona notizia è che creare e memorizzare password robuste con l’aiuto di un “password manager” è uno dei modi più semplici per proteggerci da chi potrebbe accedere ai nostri account e rubare informazioni sensibili, dati, denaro o persino la nostra identità.

  • Ferma i crimini online con password robuste - video YouTube creato da CISA

• Rafforza le tue password con tre semplici consigli

• Una password robusta segue TUTTI E TRE questi consigli.

  1. Rendile lunghe

     • Almeno 16 caratteri: più sono lunghe, più sono robuste! 

  2. Rendile casuali

     • Due modi per farlo sono:

     • Usa una sequenza casuale di lettere maiuscole e minuscole, numeri e simboli. Ad esempio:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Un’altra opzione è creare una frase facile da ricordare composta da 4-7 parole non correlate. Si chiama “passphrase”. Ad esempio:

         • Buona: HorsePurpleHatRun

         • Ottima: HorsePurpleHatRunBay

         • Eccellente: Horse Purple Hat Run Bay Lifting

         • Nota: se preferisci, puoi usare spazi prima o tra le parole!

  3. Rendile uniche 

     • Usa una password robusta diversa per ogni account.

     • Ad esempio:

       • Banca: k8dfh8c@Pfv0gB2

       • Account email: legal tiny facility freehand probable enamel

       • Account social media: e246gs%mFs#3tv6

• CONSIGLIO DA PRO: USA UN PASSWORD MANAGER

  • È difficile ricordare tutte queste password robuste e non vogliamo salvarle in un file sul computer. Usa invece un password manager. Vedi sotto!

• Usa un password manager

  • Per la maggior parte delle persone, generare e ricordare password lunghe, casuali e uniche per ogni account non è possibile. Invece di annotarle, usa un password manager! Un password manager è un programma facile da usare che genera, memorizza e persino compila tutte le tue password. I password manager ci avvisano quando abbiamo password deboli o riutilizzate e possono generare password robuste per noi. Possono anche compilare automaticamente gli accessi a siti e app mentre passiamo dall’uno all’altra.

  • Quando usiamo un password manager, dobbiamo ricordare una sola password robusta: quella del password manager stesso. (Consiglio: crea una “passphrase” lunga e facile da ricordare come descritto sopra.)

  • Esistono molti password manager tra cui scegliere. Alcuni sono gratuiti, come i password manager integrati nel tuo browser web, mentre altri sono a pagamento. Cerca “password manager” su una fonte affidabile come Consumer Reports, che offre una selezione di password manager molto apprezzati. Leggi le recensioni per confrontare le opzioni e trovare un programma affidabile adatto a te.

  • Quando usiamo un password manager, è molto più probabile che usiamo una password lunga, casuale e unica su ogni sito. E questo rende molto più difficile per qualcuno rubare le nostre informazioni preziose!

  • CONSIGLIO DA PRO Verifica se i tuoi account email, bancari, sanitari e altri account importanti applicano requisiti per password robuste. Se ti consentono di usare una password breve o una parola del dizionario, chiedi perché. Sono le tue informazioni che stanno mettendo a rischio!

  • E non dimenticare di abilitare l’MFA, soprattutto per email, account social media e conti finanziari. 

• Scheda di consigli sulle password di CISA

• Riferimento

Indicazioni dell'agenzia:

• Implementare criteri per le password che richiedano password univoche di almeno 15 caratteri

  • I gestori di password possono aiutarti a creare e gestire password sicure. Proteggi e limita l'accesso a eventuali gestori di password in uso e abilita tutte le funzionalità di sicurezza disponibili nel prodotto utilizzato, come l'MFA.

• Riferimento

Indicazioni dell'agenzia:

• L'aumento del numero di compromissioni delle infrastrutture di rete negli ultimi anni ricorda che l'autenticazione ai dispositivi di rete è un aspetto importante da considerare. I dispositivi di rete potrebbero essere compromessi a causa di:

  • Scelta inadeguata delle password (vulnerabile ad attacchi di password spraying tramite forza bruta)

  • File di configurazione dei router (che contengono password con hash) inviati tramite email non crittografata, oppure

  • Password riutilizzate (quando le password recuperate da un dispositivo compromesso possono poi essere usate per compromettere altri dispositivi).

• L'uso delle sole password aumenta il rischio di sfruttamento dei dispositivi. Sebbene la NSA raccomandi vivamente l'autenticazione a più fattori per gli amministratori che gestiscono dispositivi critici, a volte è necessario usare solo le password. Scegliere algoritmi validi per l'archiviazione delle password può rendere lo sfruttamento molto più difficile.

• Per garantire la massima protezione possibile, usa password complesse per evitare che vengano decifrate e convertite in testo in chiaro. Rispetta una policy per le password che:

  • Consista in una combinazione di lettere minuscole e maiuscole, simboli e numeri;

  • Sia composta da almeno 15 caratteri alfanumerici; e

  • Non segua schemi quali:

    • Una sequenza sulla tastiera

    • Uguale a un nome utente

    • La password predefinita

    • Uguale a una password usata altrove

    • Correlati alla rete, all'organizzazione, alla posizione o ad altri identificatori funzionali

    • Tratti direttamente da un dizionario, acronimi comuni o facili da indovinare

• Riferimento

Indicazioni dell'agenzia:

• Proteggi e rafforza le tue password

  • Usa password univoche e robuste per ogni account online. Riutilizzare le password su più account può esporre i dati di tutti gli account se la password viene scoperta. Assicurati che la tua password abbia lunghezza e complessità adeguate, usando una combinazione di lettere, numeri e caratteri speciali. Ove possibile, implementa l'autenticazione a più fattori utilizzando un token o un'app di autenticazione, in modo che nessuno possa accedere al tuo account anche se la password viene compromessa. Non condividere mai le password ed evita di usare informazioni che potrebbero essere indovinate in base ai tuoi profili sui social media o a informazioni pubbliche.

• Riferimento

Indicazioni dell'agenzia:

• Criteri da considerare quando si seleziona una soluzione di autenticazione a più fattori: il Computer Security Resource Center del National Institute of Standards and Technology ha recentemente aggiornato le sue “Digital Identity Guidelines4” (SP 800-63-3). Fornisce definizioni standard e assegna livelli di garanzia a varie soluzioni di autenticazione. I criteri riportati di seguito riflettono i requisiti del NIST per garantire che una soluzione sia convalidata per resistere a diversi exploit comuni. Una soluzione di autenticazione completa deve essere implementata correttamente utilizzando meccanismi standard e convalidati. Deve inoltre includere autenticatori, validatori e processi di supporto per il ciclo di vita. Alcune soluzioni commerciali si concentrano sugli autenticatori e richiedono all'organizzazione di gestire validatori e processi del ciclo di vita. Altre soluzioni commerciali convalidano più tipi di autenticatori, gestiscono meccanismi di autenticazione in più passaggi e gestiscono l'attendibilità degli autenticatori provenienti da vari provider di identità a supporto di più servizi. Queste spesso richiedono al cliente di acquisire una o più soluzioni di autenticazione e configurare i server affinché accettino le asserzioni di un server di autenticazione che esegue la federazione delle identità. SP 800-63-3 include anche criteri per la federazione delle identità.

• Riferimento

La CISA rientra nel DHS

Indicazioni dell'agenzia:

• Il presidente Biden ha reso la cybersicurezza, un elemento critico della missione del Department of Homeland Security (DHS), una priorità assoluta per l'amministrazione Biden-Harris a tutti i livelli di governo.

• Per portare avanti l'impegno del Presidente e riflettere il fatto che rafforzare la resilienza informatica della nazione è una priorità assoluta per il DHS, il segretario Mayorkas ha lanciato un appello all'azione dedicato alla cybersicurezza nel suo primo mese in carica. Questo appello all'azione si è concentrato sull'affrontare la minaccia immediata del ransomware e sulla costruzione di una forza lavoro più solida e diversificata.

• Nel marzo 2021, il segretario Mayorkas ha delineato la sua visione più ampia e una roadmap per gli sforzi del Dipartimento in materia di cybersicurezza in un intervento virtuale ospitato dalla RSA Conference, in collaborazione con la Hampton University e le Girl Scouts of the USA.

• Dopo la sua presentazione, il Segretario è stato affiancato da Judith Batty, CEO ad interim delle Girl Scouts, per una conversazione informale per discutere delle sfide senza precedenti in materia di cybersicurezza che gli Stati Uniti stanno affrontando. La dott.ssa Chutima Boonthum-Denecke del Dipartimento di Informatica della Hampton University ha presentato il Segretario e ha moderato una sessione di domande e risposte a chiusura del programma.

  • Panoramica degli sprint di cybersicurezza del DHS

  • Panoramica di ulteriori priorità di cybersicurezza in corso

  • Informazioni aggiuntive

• Riferimento

Consigli dell'agenzia:

• I reati commessi tramite Internet e le intrusioni informatiche stanno diventando sempre più sofisticati e prevenirli richiede che ogni utente di un dispositivo connesso sia consapevole e vigile.

• Mantieni aggiornati sistemi e software e installa un programma antivirus affidabile e robusto.

• Fai attenzione quando ti connetti a una rete Wi‑Fi pubblica e non effettuare transazioni sensibili, inclusi acquisti, mentre sei su una rete pubblica.

• Crea una frase d'accesso robusta e univoca per ogni account online e modificala regolarmente.

• Configura l'autenticazione a più fattori su tutti gli account che la consentono.

• Controlla l'indirizzo email in tutta la corrispondenza ed esamina attentamente gli URL dei siti web prima di rispondere a un messaggio o visitare un sito

• Non fare clic su nulla in email o SMS non richiesti.

• Fai attenzione alle informazioni che condividi nei profili online e negli account sui social media. Condividere dettagli come nomi di animali domestici, scuole e familiari può fornire ai truffatori gli indizi necessari per indovinare le tue password o le risposte alle domande di sicurezza del tuo account.

• Non inviare pagamenti a persone o organizzazioni sconosciute che chiedono sostegno economico e sollecitano un'azione immediata.

• Riferimento

Consigli dell'agenzia:

• Mantieni attivo il firewall

  Un firewall aiuta a proteggere il computer dagli hacker che potrebbero tentare di accedervi per bloccarlo, eliminare informazioni o persino rubare password o altre informazioni sensibili. I firewall software sono ampiamente consigliati per i singoli computer. Il software è preinstallato su alcuni sistemi operativi oppure può essere acquistato per singoli computer. Per più computer in rete, i router hardware in genere offrono protezione firewall.

• Installa o aggiorna il software antivirus

  Il software antivirus è progettato per impedire ai programmi dannosi di installarsi nel computer. Se rileva codice dannoso, come un virus o un worm, interviene per disattivarlo o rimuoverlo. I virus possono infettare i computer all'insaputa degli utenti. La maggior parte dei software antivirus può essere configurata per aggiornarsi automaticamente.

• Installa o aggiorna la tecnologia antispyware

  Lo spyware è esattamente ciò che suggerisce il nome: software installato di nascosto sul computer per consentire ad altri di spiare le tue attività. Alcuni spyware raccolgono informazioni su di te senza il tuo consenso o generano annunci pop-up indesiderati nel browser web. Alcuni sistemi operativi offrono protezione spyware gratuita e software economici sono facilmente disponibili per il download da Internet o presso il negozio di informatica locale. Diffida degli annunci su Internet che offrono antispyware scaricabili: in alcuni casi questi prodotti potrebbero essere falsi e contenere in realtà spyware o altro codice dannoso. È come fare la spesa: compra dove ti fidi.

• Mantieni aggiornato il sistema operativo

  I sistemi operativi dei computer vengono aggiornati periodicamente per restare al passo con i requisiti tecnologici e correggere falle di sicurezza. Assicurati di installare gli aggiornamenti per garantire al computer la protezione più recente.

• Fai attenzione a ciò che scarichi

  Scaricare allegati email senza cautela può aggirare anche il software antivirus più vigile. Non aprire mai un allegato email proveniente da qualcuno che non conosci e fai attenzione agli allegati inoltrati da persone che conosci. Potrebbero aver diffuso involontariamente codice dannoso.

• Spegni il computer

  Con la diffusione delle connessioni Internet ad alta velocità, molti scelgono di lasciare il computer acceso e pronto all'uso. Lo svantaggio è che essere “sempre connessi” rende i computer più vulnerabili. Oltre alla protezione del firewall, progettata per respingere attacchi indesiderati, spegnere il computer interrompe di fatto la connessione di un aggressore, che si tratti di spyware o di una botnet che sfrutta le risorse del computer per raggiungere altri utenti ignari.

• Riferimento

Consigli dell'agenzia:

• I tuoi account online possono contenere molte informazioni personali. Proteggili con una password robusta e difficile da indovinare e attiva l'autenticazione a due fattori.

• Per quanto riguarda le password, hai alcune opzioni:

  • Crea la tua password

  • Scegli una password generata automaticamente

  • Usa un gestore di password

• Crea la tua password. Se crei una password, rendila lunga. Punta ad almeno 15 caratteri. Usa una combinazione di lettere maiuscole e minuscole, numeri e simboli.

• Poiché una password lunga può essere difficile da ricordare, potresti trovare più semplice usare una frase d'accesso. Una frase d'accesso è una serie di parole separate da spazi. Se usi una frase d'accesso

  • Assicurati che sia composta da parole casuali

  • Evita di usare frasi comuni, testi di canzoni o citazioni di film che un programma di hacking può indovinare facilmente

  • Scegli una password generata automaticamente. Gli studi dimostrano che le persone non sono brave a creare e ricordare password robuste. Puoi fare in modo che il browser o il dispositivo crei una password per te. Ecco maggiori informazioni su come funziona:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Usa un gestore di password. Un gestore di password di terze parti può anche creare una password robusta. Per trovare un gestore di password affidabile, leggi le recensioni degli esperti. Assicurati che la password del tuo gestore di password sia robusta. E proteggila come fai con le altre password.

• Le password robuste possono essere difficili da ricordare. Ma il tuo browser e il tuo dispositivo possono salvare la tua password. Lo stesso vale per il tuo gestore di password. E possono compilare automaticamente la password la prossima volta che accedi a un sito web o a un’app.

• Usa l’autenticazione a due fattori. Usare una password robusta è un passo importante per proteggere il tuo account dagli hacker. Ma anche le password robuste sono vulnerabili agli attacchi informatici. Usare l’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza al tuo account. Un hacker che ruba la tua password non può accedere al tuo account senza il secondo fattore di autenticazione.

• Il tipo più comune di autenticazione a due fattori è un codice di verifica che ricevi tramite SMS o email. Questo codice monouso è in genere composto da sei cifre o più e scade automaticamente.

• I tipi più sicuri di autenticazione a due fattori sono un’app di autenticazione o una chiave di sicurezza. Scegli uno di questi metodi per una maggiore protezione, se ne hai la possibilità.

• Riferimento

Consiglio dell’agenzia:

• Assicurati che la tua password sia lunga e robusta. Ciò significa almeno 12 caratteri. Rendere una password più lunga è in genere il modo più semplice per renderla più robusta. Valuta l’uso di una passphrase composta da parole casuali, in modo che la password sia più facile da ricordare, ma evita parole o frasi comuni. Se il servizio che usi non consente password lunghe, puoi rendere la password più robusta combinando lettere maiuscole e minuscole, numeri e simboli.

• Non riutilizzare password che hai già usato per altri account. Usa password diverse per account diversi. In questo modo, se un hacker ottiene la password di un account, non può usarla per accedere agli altri.

• Usa l’autenticazione a più fattori quando è disponibile. Alcuni account offrono maggiore sicurezza richiedendo qualcosa in più rispetto a una password per accedere. Questo si chiama autenticazione a più fattori. Il “qualcosa in più” di cui hai bisogno per accedere al tuo account rientra in due categorie:

  • Qualcosa che hai, come un codice che ricevi tramite un’app di autenticazione o una chiave di sicurezza.

  • Qualcosa che sei, come una scansione dell’impronta digitale, della retina o del volto.

• Valuta l’uso di un gestore di password. La maggior parte delle persone ha difficoltà a tenere traccia di tutte le proprie password. Più una password è lunga e complessa, più è robusta, ma una password più lunga può anche essere più difficile da ricordare. Valuta di archiviare le tue password e le domande di sicurezza in un gestore di password affidabile. Per trovare un gestore di password affidabile, consulta siti di recensioni indipendenti e chiedi ad amici e familiari quali usano. Assicurati di usare una password robusta per proteggere le informazioni nel tuo gestore di password.

• Scegli domande di sicurezza a cui solo tu sai rispondere. Se un sito ti chiede di rispondere a domande di sicurezza, evita di fornire risposte disponibili nei registri pubblici o facili da trovare online, come il tuo codice postale, il luogo di nascita o il cognome da nubile di tua madre. E non usare domande con un numero limitato di risposte che gli aggressori possono indovinare facilmente, come il colore della tua prima auto. Puoi persino usare risposte senza senso per rendere più difficile indovinarle, ma se lo fai assicurati di ricordare cosa hai usato.

• Cambia rapidamente le password in caso di violazione. Se un’azienda ti informa che c’è stata una violazione dei dati in cui un hacker potrebbe aver ottenuto la tua password, cambia subito la password che usi con quell’azienda e quella di qualsiasi account che utilizzi una password simile.

• Riferimento

Consiglio dell’agenzia:

• In passato, l’opinione comune era creare password usando caratteri speciali, maiuscole, numeri, lettere e una serie di regole arbitrarie, tra cui l’obbligo di cambiare la password più volte all’anno. La ricerca mostra che ognuno di noi ha reagito allo stesso modo: riutilizzando le password o creando varianti della stessa password, perché ci veniva chiesto di memorizzare decine di password uniche per ogni sito, accesso o applicazione.

• I nostri istinti naturali hanno creato una debolezza nella nostra sicurezza online e i criminali informatici ne hanno approfittato. La ricerca sull’uso delle password ha dimostrato la debolezza intrinseca nel pretendere che gli utenti memorizzino password arbitrariamente complesse e l’importanza di usare l’autenticazione a più fattori (MFA) per proteggere le nostre informazioni private. È importante notare che il nostro modo di pensare su questo tema si è evoluto e abbiamo individuato le seguenti pratiche per proteggerci meglio:

  • Quando devi usare una password, scegline una più lunga (15 o più caratteri) o persino passphrase, perché offrono una protezione maggiore rispetto a una password più breve e arbitrariamente complessa. Le passphrase hanno anche il vantaggio di essere facili da ricordare.

  • L’uso della MFA (ad esempio un codice monouso inviato via email o un’app di autenticazione sul telefono) aggiunge un secondo livello, fondamentale, di protezione contro una password compromessa. La MFA dovrebbe essere configurata ogni volta che è disponibile. Richiede solo pochi istanti e ti darà tranquillità.

  • I gestori di password, protetti da un’unica password molto robusta e lunga con MFA abilitata, ci permettono di creare password uniche per ogni sito senza doverle memorizzare tutte.

• Riferimento

Consiglio dell’agenzia:

• Garantire la sicurezza delle nostre reti globali interconnesse, nonché dei dispositivi e dei dati collegati a tali reti, è una delle sfide decisive della nostra epoca.

• Il Dipartimento del Commercio ha il compito di rafforzare la consapevolezza e le protezioni in materia di cybersicurezza, tutelare la privacy, mantenere la sicurezza pubblica, sostenere la sicurezza economica e nazionale e aiutare gli americani a gestire meglio la propria sicurezza online.

  • Il NIST rilascia la versione 1.0 del Privacy Framework

  • Il NIST offre una guida rapida al suo catalogo di misure di sicurezza e tutela della privacy

  • Angolo della cybersicurezza per le piccole imprese

• Riferimento

• Formate i dipendenti sui principi di sicurezza. Stabilite pratiche e politiche di sicurezza di base per i dipendenti, ad esempio richiedendo password robuste e definendo linee guida appropriate per l’uso di Internet, che specifichino le sanzioni in caso di violazione delle politiche aziendali di cybersicurezza. Stabilite regole di comportamento che descrivano come gestire e proteggere le informazioni dei clienti e altri dati vitali.

• Richiedete ai dipendenti di usare password univoche e di cambiarle ogni tre mesi. Valutate l’implementazione dell’autenticazione a più fattori, che richiede informazioni aggiuntive oltre alla password per accedere. Verificate con i fornitori che gestiscono dati sensibili, in particolare gli istituti finanziari, se offrono l’autenticazione a più fattori per il vostro account.

• Riferimento

Consigli dell’agenzia:

• Qual è la principale causa delle violazioni dei dati nelle piccole imprese? I dipendenti e le comunicazioni di lavoro. Sono vie di accesso dirette ai vostri sistemi. Formate i dipendenti sulle best practice per l’uso di Internet. Questo può aiutare a prevenire gli attacchi informatici. Altri argomenti di formazione utili includono:

  • Riconoscere le email di phishing

  • Adottare buone pratiche di navigazione su Internet

  • Evitare download sospetti

  • Abilitare strumenti di autenticazione (password robuste, autenticazione a più fattori, ecc.)

  • Proteggere le informazioni sensibili di fornitori e clienti

• Riferimento

Consigli dell’agenzia:

• L’autenticazione a più fattori (MFA) è una misura di sicurezza importante. Verifica l’identità di una persona richiedendo più di un semplice nome utente e password. L’MFA può richiedere agli utenti di fornire due o più dei seguenti elementi:

  • Qualcosa che l’utente conosce (password, frase, PIN)

  • Qualcosa che l’utente possiede (token fisico, telefono)

  • Qualcosa che identifica fisicamente l’utente (impronta digitale, riconoscimento facciale)

• Verificate con i fornitori se offrono l’MFA per uno qualsiasi dei vostri account (ad esempio finanziari, contabili, buste paga).

• Riferimento

Nel luglio 2023, la SEC “ha adottato norme definitive che richiederanno alle società quotate di divulgare sia gli incidenti di cybersecurity rilevanti subiti, sia, su base annuale, informazioni rilevanti riguardanti la gestione del rischio, la strategia e la governance in materia di cybersecurity.” Considerato il ruolo della SEC nell’applicazione della conformità in materia di cybersecurity, sembra prudente valutare i consigli della stessa SEC sulla sicurezza delle password.

Una ricerca di “sicurezza delle password” sul sito SEC.gov restituisce 10 documenti, che sembrano tutti risalire ad anni fa. Esiste una pagina dedicata alla cybersecurity, ma offre raccomandazioni piuttosto generiche riprese dalla CISA. Un avviso sui rischi di cybersecurity del 2020 intitolato “Cybersecurity: proteggere gli account dei clienti dalla compromissione delle credenziali” rimanda a un PDF che tratta il credential stuffing. Sebbene la parola “password” sia usata in tutto il documento, la “sicurezza delle password” non viene menzionata esplicitamente. Le “password complesse” sono citate nel contesto seguente:

Indicazioni dell’agenzia:

• Mentre le aziende si preparano agli attacchi di credential stuffing, il personale dell’OCIE incoraggia le aziende a considerare le proprie pratiche attuali (ad es. MFA e altre pratiche descritte sopra) e gli eventuali limiti di tali pratiche, nonché a valutare se i clienti e il personale dell’azienda siano adeguatamente informati su come proteggere meglio i propri account. Clienti informati La maggior parte delle aziende richiede a clienti e personale di creare e usare password complesse. Tuttavia, l’uso delle password è meno efficace se clienti e/o personale riutilizzano password di altri siti. Per una maggiore efficacia, alcune aziende hanno informato e incoraggiato clienti e personale a creare password complesse e uniche e a cambiarle se vi sono indicazioni che la loro password sia stata compromessa.

• Riferimento

Questa sezione è stata aggiornata a gennaio 2025 e verrà aggiornata per riflettere le nuove politiche dell’amministrazione non appena disponibili.

Indicazioni dell’agenzia:

• "Invito il popolo, le imprese e le istituzioni degli Stati Uniti a riconoscere e ad agire sull’importanza della cybersecurity e a celebrare il Mese della consapevolezza sulla cybersecurity a sostegno della nostra sicurezza e resilienza nazionale. Invito inoltre imprese e istituzioni ad agire per proteggere meglio il popolo americano dalle minacce informatiche e a creare nuove opportunità per i lavoratori americani di intraprendere lavori nel settore cyber ben retribuiti. Gli americani possono anche adottare misure immediate per proteggersi meglio, come attivare l’autenticazione a più fattori, aggiornare il software su computer e dispositivi, usare password complesse e prestare attenzione prima di cliccare su link che sembrano sospetti."

• Riferimento

Indicazioni dell’agenzia:

• Le agenzie devono assicurarsi che i siti web che richiedono l’autenticazione del pubblico siano compatibili con i gestori di password di uso comune e non devono impedire l’“incollaggio” delle password o altri meccanismi di assistenza automatizzati lato client.

• Riferimento

Indicazioni dell’agenzia:

• “Serve più di una password per restare al sicuro online, ed è qui che entra in gioco l’autenticazione a più fattori per garantire che i tuoi dati siano protetti meglio dagli attori informatici malevoli”, ha dichiarato Brandon Wales, direttore esecutivo della CISA. “La CISA ha costantemente esortato le organizzazioni a implementare l’MFA per tutti gli utenti, in modo da rendere più difficile l’accesso ai dati critici. Il simposio di oggi serve a riunirci per definire la visione che tutti stiamo cercando di trasformare in realtà.”

• Riferimento

L’amministrazione Biden-Harris annuncia un programma di etichettatura della cybersecurity per dispositivi smart a tutela dei consumatori americani

Indicazioni dell’agenzia

• Agendo nell’ambito della propria autorità di regolamentazione dei dispositivi di comunicazione wireless, la FCC dovrebbe avviare una consultazione pubblica sull’introduzione del programma volontario proposto di etichettatura della cybersecurity, che dovrebbe essere operativo nel 2024. Come proposto, il programma farebbe leva su iniziative guidate dagli stakeholder per certificare ed etichettare i prodotti, sulla base di specifici criteri di cybersecurity pubblicati dal National Institute of Standards and Technology (NIST) che, ad esempio, richiedono password predefinite uniche e complesse, protezione dei dati, aggiornamenti software e capacità di rilevamento degli incidenti.

• Riferimento

Ci sono molte misure che puoi adottare per restare al sicuro online, ma l’azione più semplice con l’impatto più significativo e immediato sulla tua sicurezza è usare un gestore di password. Scegli un gestore di password multipiattaforma con crittografia end-to-end a conoscenza zero che possa generare e archiviare un numero illimitato di password uniche e complesse. Puoi iniziare a usare Bitwarden con un account gratuito oppure scegliere Premium per meno di 10 $/anno e ottenere funzionalità avanzate.

• Visualizza la presentazione sullo stato della sicurezza delle password