Consigli sui criteri relativi alle password per Office 365

Dai un'occhiata a tutti i contenuti delle piccole imprese su Small Business Help & Learning. (Guide e formazione per le piccole imprese).

L'amministratore di un'organizzazione è responsabile dell'impostazione dei criteri password per gli utenti dell'organizzazione. L'impostazione dei criteri per le password può essere complicata e fonte di confusione e questo articolo fornisce consigli per rendere l'organizzazione più sicura dagli attacchi con password.

Gli account solo cloud Microsoft hanno un criterio password predefinito che non può essere modificato. Gli unici elementi che è possibile modificare sono il numero di giorni fino alla scadenza di una password e la scadenza o meno delle password.

Per determinare la frequenza di scadenza delle password di Microsoft 365 nella propria organizzazione, vedere Impostare i criteri di scadenza delle password per Microsoft 365.

Per altre informazioni sulle password per Microsoft 365, vedere:

Reimpostare la password (articolo)

Impostare la password di un singolo utente in modo che non scada mai (articolo)

Consentire agli utenti di reimpostare le loro password (articolo)

Inviare di nuovo la password di un utente (articolo)

È ora di ridefinire le modifiche obbligatorie delle password.

Informazioni sui suggerimenti per la scelta della password

I criteri per l'impostazione di password efficaci rientrano in tre ampie categorie:

  • Resistenza agli attacchi più comuni Questo criterio implica la scelta della posizione in cui gli utenti immettono le password (dispositivi noti e attendibili con un buon sistema di rilevamento del malware e siti convalidati) e la scelta della password stessa (lunghezza e univocità).

  • Contenimento degli attacchi riusciti Con contenimento degli attacchi riusciti si intende la limitazione dell'esposizione a un servizio specifico o la prevenzione totale del danno, in caso di furto della password di un utente. Significa ad esempio impedire che una violazione delle credenziali di social networking renda vulnerabile il conto corrente bancario o che un account poco sicuro accetti collegamenti di reimpostazione per un account importante.

  • Comprensione della natura umana Molti criteri di scelta della password, per quanto validi, soccombono di fronte al comportamento delle persone. Comprendere la natura umana è fondamentale perché la ricerca mostra che quasi tutte le regole che impone agli utenti comportano un indebolimento della qualità delle password. I requisiti relativi a lunghezza, caratteri speciali e modifica della password causano tutti una normalizzazione delle password, che rende più semplice ai pirati informatici l'impresa di indovinare o violare le password.

Linee guida per le password per gli amministratori

L'obiettivo principale di un sistema di password più sicuro è la diversità delle password. I criteri per le password dovrebbero contenere moltissime password diverse e difficili da indovinare. Ecco alcuni suggerimenti per garantire la massima sicurezza possibile per la propria organizzazione.

  • Mantenere un requisito di lunghezza minima di quattordici caratteri

  • Non richiedere requisiti di composizione dei caratteri. Ad esempio, *&(^%$

  • Non richiedere la reimpostazione periodica obbligatoria delle password degli account utente

  • Vietare le password comuni per tenere fuori dal sistema le password più vulnerabili

  • Informare gli utenti a non riutilizzare le password dell'organizzazione per scopi non correlati al lavoro

  • Attivare la registrazione per l'autenticazione a più fattori

  • Abilitare le sfide dell'autenticazione a più fattori basata sui rischi

Linee guida per le password per gli utenti

Ecco alcune indicazioni per l'impostazione delle password per gli utenti dell'organizzazione. Assicurarsi che gli utenti conoscano questi suggerimenti e applichino i criteri di impostazione delle password consigliati nell'intera organizzazione.

  • Non usare una password uguale o simile a una password usata in un altro sito Web

  • Non usare un’unica parola, ad esempio password, o una frase d’uso comune, come tiamo

  • Fai le password difficili da indovinare, anche da persone che conoscono molto su di te, come i nomi e i compleanni dei tuoi amici e familiari, le tue band preferite e le frasi che ti piace usare

Alcuni approcci comuni e impatti negativi

Sono alcune delle procedure di gestione delle password usate più di frequente, ma la ricerca ci mette in guardia sui loro effetti negativi.

Requisiti per la scadenza delle password degli utenti

I requisiti di scadenza delle password fanno più male che bene, in quanto fanno sì che gli utenti selezionino password prevedibili, composte da parole sequenziali e numeri strettamente correlati tra loro. In questi casi è piuttosto facile indovinare la password successiva sulla base di quella precedente. I requisiti di scadenza delle password non offrono alcun vantaggio in termini di contenimento, in quanto i criminali informatici usano quasi sempre le credenziali subito dopo averle compromesse.

Requisiti minimi per la lunghezza della password

Per incoraggiare gli utenti a pensare a una password univoca, è consigliabile mantenere un requisito di lunghezza minima ragionevole di otto caratteri.

Requisiti di complessità delle password (uso di più set di caratteri)

I requisiti di complessità delle password inducono gli utenti a ridurre la varietà di lettere scelte e ad adottare comportamenti prevedibili, causando più danni che vantaggi. La maggior parte dei sistemi applica un certo livello di requisiti di complessità delle password. Ad esempio, le password devono contenere caratteri di tutte e tre le categorie seguenti:

  • caratteri maiuscoli

  • caratteri minuscoli

  • caratteri non alfanumerici

La maggior parte delle persone usa modelli simili. Ad esempio, una lettera maiuscola nella prima posizione, un simbolo nell'ultima e un numero negli ultimi 2. I criminali informatici sono a conoscenza di tali modelli, quindi eseguono i loro attacchi dizionario usando le sostituzioni più comuni, "$" per "s", "@" per "a", "1" per "l". Obbligare gli utenti a scegliere una combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali ha un effetto negativo. Alcuni requisiti di complessità impediscono addirittura agli utenti di usare password sicure e facili da ricordare, costringendoli a scegliere password meno sicure e più difficili da ricordare.

Criteri efficaci

Ecco alcuni suggerimenti volti a incoraggiare la diversità delle password.

Vietare le password comuni

Il più importante requisito da impostare in relazione alla creazione di password da parte degli utenti consiste nel vietare l'uso di password comuni per ridurre l'esposizione dell'organizzazione ad attacchi di forza bruta volti a violare le password. Le password utente comuni includono: abcdefg, password, monkey.

Istruire gli utenti a non riutilizzare altrove le password dell'organizzazione

Uno dei messaggi più importanti da comunicare agli utenti dell'organizzazione è quello di non riutilizzare altrove la password aziendale. L'uso di password dell'organizzazione in siti Web esterni aumenta notevolmente la probabilità che i criminali informatici possano compromettere queste password.

Attivare la registrazione dell'autenticazione a più fattori

Assicurarsi che gli utenti aggiornino le informazioni di contatto e di sicurezza, aggiungendo ad esempio un indirizzo di posta elettronica o un numero di telefono alternativo oppure un dispositivo registrato per le notifiche push, in modo che possano rispondere alle richieste di sicurezza e ricevere notifiche sugli eventi che riguardano la sicurezza. Se si mantengono aggiornate le informazioni di contatto e di sicurezza, è più facile verificare l'identità degli utenti in caso dimentichino la password o se qualcuno tenta di assumere il controllo del loro account. Fornisce anche un canale di notifica fuori banda per eventi di sicurezza come tentativi di accesso o password modificate.

Per altre informazioni, vedere Configurare l'autenticazione a più fattori.

Abilitare l'autenticazione a più fattori basata sui rischi

L'autenticazione a più fattori basata sul rischio garantisce che quando il sistema rileva attività sospette, può richiedere all'utente di assicurarsi di essere il proprietario dell'account legittimo.

Passaggi successivi

Per saperne di più sulla gestione delle password: Ecco alcune letture consigliate:

Reimpostare la password (articolo)
Impostare la password di un singolo utente in modo che non scada mai (articolo)
Consentire agli utenti di reimpostare le loro password (articolo)
Inviare nuovamente la password utente - Guida per amministratori (articolo)