La gestione delle password, da quelle aziendali a quelle della vita di tutti i giorni, sta diventando in questi anni un tema sempre più importante per quanto riguarda la sicurezza e la privacy dei dati.
Oggi moltissimi prodotti e servizi necessitano di credenziali di accesso per poter essere utilizzati, e non è un mistero che anche gli attacchi informatici stiano rapidamente aumentando.
Dal file Excel al quadernino cartaceo, fino ad arrivare ai post-it lasciati incustoditi sulla scrivania o sul monitor. Le abitudini scorrette sono molte, e rischiano di dare accesso a un mondo di informazioni ad hacker e malintenzionati.
Come impostare password efficaci? Come gestirle e conservarle al meglio? Vediamo quali sono i consigli del Garante privacy su questo argomento, tanto cruciale quanto troppo spesso sottovalutato.
Come impostare una password sicura: i suggerimenti del Garante
Quando arriva il momento di scegliere una nuova password, ci sono errori che accomunano tutti, o quasi.
Chi non ha mai utilizzato la stessa dicitura per accedere a servizi diversi? Chi non ha mai scelto una parola semplice, perché più facile da ricordare? Gli esempi possono essere infiniti. Ma nell'impostazione delle password - a maggior ragione quelle aziendali - è importante capire che ci sono dati sensibili (di fornitori, clienti, collaboratori) che possono finire nelle mani sbagliate.
Agire con consapevolezza è fondamentale per prevenire situazioni che rischiano di incidere sull'operatività e sul business dell'impresa. Vediamo quali sono i consigli del Garante per impostare bene una password e fare in modo che sia più sicura.
Lunghezza della password
Il numero minimo consigliato è di almeno 8 caratteri, anche se più ce ne sono e più diventa "robusta". Per il Garante, è consigliabile stare sui 15 caratteri.
Tipologie di caratteri della password
Alternare diverse tipologie di caratteri (almeno 4) nella stessa password può essere molto utile. Con questo si intende, ad esempio, usare lettere minuscole, maiuscole, numeri e caratteri speciali (come il trattino, l’underscore, ecc).
Complessità della password
Sono da evitare i riferimenti personali più facili da indovinare (es. data di nascita, nome, cognome, nome utente, ecc) così come parole intere che fanno parte dell'uso comune. Vi sono, infatti, software programmati per tentare di indovinare e rubare le password provando sistematicamente i vari termini in uso nelle diverse lingue. Camuffare queste parole (es. caffè può essere scritto caf-f3) può rendere il funzionamento di tali programmi più complicato.
Aggiornamento periodico delle password
Magari non tutte, ma quelle che danno accesso ai dati sensibili più importanti (es. e-mail, e-banking, ecc) andrebbero cambiate ogni tot di mesi, per un maggior grado di sicurezza delle password.
La gestione delle password
La gestione delle password l'abbiamo accennata brevemente nello scorso paragrafo, parlando degli errori da non commettere.
Il Garante per la Privacy, infatti, cita soprattutto due azioni da evitare in tema di sicurezza delle password:
- non utilizzare le stesse credenziali per accedere a diverse piattaforme e servizi digitali (il rischio, in caso di furto, è che anche gli altri profili possano essere facilmente violati);
- non usare password già impiegate in passato.
Altro aspetto da non trascurare riguarda le password temporanee che vengono rilasciate da un sistema o da un servizio informatico, al momento della registrazione. È sempre importante cambiarle immediatamente, impostandone una personale.
Infine, altro strumento per stare più tranquilli è il meccanismo di autenticazione multi-fattore (laddove disponibile). Esso permette di rafforzare la protezione offerta dalla password, grazie ad esempio a codici OTP - one-time-password.
Come conservare le password aziendali
Anche in questo caso ci sono delle accortezze che è importante considerare, per una miglior sicurezza delle password aziendali.
Come anticipato, scriverle su bigliettini (che possono essere persi, lasciati in giro o essere di facile accesso a chi frequenta il posto di lavoro) è una pratica da evitare. Al tempo stesso, anche salvare tutte le password in un unico file - condiviso con altri e magari non protetto a sua volta da credenziali di accesso - è un errore da evitare.
In generale, le password non dovrebbero mai essere condivise via e-mail, messaggio, social, ecc, in quanto - anche se inviate a persone conosciute - possono poi finire in mano a terzi involontariamente oppure essere rubate da malintenzionati.
Altra pratica molto comune e "comoda" (ma pericolosa) riguarda la conservazione in memoria delle password utilizzate (es. la compilazione automatica). Questo, a maggior ragione, se si tratta di un dispositivo non di proprietà ma di un pc, uno smartphone o un tablet aziendali.
Infine, il Garante consiglia di valutare l’utilizzo di “gestori di password”, programmi specializzati per creare credenziali sicure e salvarle in un database cifrato.
Per approfondire, sull’argomento potrebbero interessarti anche i seguenti articoli del nostro blog:
- Sicurezza cloud in azienda: cos'è e quali misure possono prevenire i rischi;
- E-mail aziendale e privacy: cosa devi sapere;
- Come proteggersi dagli attacchi phishing: i consigli del Garante.
Vuoi capire come tutelare la tua azienda in tema di sicurezza e privacy dei dati? Vuoi capire quali sono gli adempimenti previsti dal GDPR? Contattaci senza impegno per richiedere la consulenza di un nostro professionista.
 |
Scritto da: Laura Tacchella Consulente specializzata in igiene e sicurezza degli alimenti, amante del nuoto e appassionata di viaggi e streetart. |