Suggerimenti sui criteri relativi alle password per Office 365

Collaboratori: Kweku Ako Adjei
Ultimo aggiornamento: 1 dicembre 2017

L'amministratore di un'organizzazione di Office 365 ha la responsabilità di impostare i criteri per le password degli utenti. Questo articolo fornisce indicazioni su come eseguire questa operazione, che può essere complicata, e suggerimenti per rafforzare la protezione dell'organizzazione dagli attacchi contro le password.

Per impostare criteri di complessità delle password personalizzati per l'organizzazione, vedere Azure AD B2C: Configurare i requisiti di complessità delle password.

Per determinare la frequenza di scadenza delle password di Office 365 nella propria organizzazione, vedere Impostare i criteri di scadenza delle password per Office 365.

Informazioni sui suggerimenti per la scelta della password

I criteri per l'impostazione di password efficaci rientrano in tre ampie categorie:

  • Resistenza agli attacchi più comuni Questo criterio implica la scelta della posizione in cui gli utenti immettono le password (dispositivi noti e attendibili con un buon sistema di rilevamento del malware e siti convalidati) e la scelta della password stessa (lunghezza e univocità).

  • Contenimento degli attacchi riusciti Con contenimento degli attacchi riusciti si intende la limitazione dell'esposizione a un servizio specifico o la prevenzione totale del danno, in caso di furto della password di un utente. Significa ad esempio impedire che una violazione delle credenziali di social networking renda vulnerabile il conto corrente bancario o che un account poco sicuro accetti collegamenti di reimpostazione per un account importante.

  • Comprensione della natura umana Molti criteri di scelta della password, per quanto validi, soccombono di fronte al comportamento delle persone. La comprensione della natura umana è fondamentale, in quanto la ricerca dimostra che quasi tutte le regole imposte agli utenti non fanno che impoverire la qualità delle password. I requisiti relativi a lunghezza, caratteri speciali e modifica della password causano tutti una normalizzazione delle password, che rende più semplice ai pirati informatici l'impresa di indovinare o violare le password.

Linee guida per le password per gli amministratori

L'obiettivo principale di un sistema di password più sicuro è la diversità delle password. I criteri per le password dovrebbero contenere moltissime password diverse e difficili da indovinare. Ecco alcuni suggerimenti per garantire la massima sicurezza possibile per la propria organizzazione.

  • Mantenere il requisito di lunghezza minima di 8 caratteri (una password più lunga non è necessariamente migliore)

  • Non impostare requisiti di composizione dei caratteri, ad esempio *&(^%$

  • Non richiedere la reimpostazione periodica obbligatoria delle password degli account utente

  • Vietare le password comuni per tenere fuori dal sistema le password più vulnerabili

  • Educare gli utenti a non riutilizzare la password aziendale per scopi non correlati al lavoro

  • Attivare la registrazione per l'autenticazione a più fattori

  • Abilitare le richieste di autenticazione a più fattori basata sul rischio

Linee guida per le password per gli utenti

Ecco alcune indicazioni per l'impostazione delle password per gli utenti dell'organizzazione. Assicurarsi che gli utenti conoscano questi suggerimenti e applichino i criteri di impostazione delle password consigliati nell'intera organizzazione.

  • Non usare una password uguale o simile a una password usata in un altro sito Web

  • Non usare una sola parola, ad esempio password, o una frase di uso comune, come Iloveyou

  • Creare password difficili da indovinare anche da parte di persone molto intime, evitando ad esempio nomi e compleanni di amici e familiari, il gruppo musicale preferito e frasi usate spesso

Alcuni approcci comuni e impatti negativi

Di seguito sono descritte alcune delle procedure di gestione delle password più usate, tuttavia le ricerche condotte hanno portato alla luce alcuni impatti negativi.

Requisiti per la scadenza delle password degli utenti

I requisiti per la scadenza delle password fanno più male che bene, in quanto spingono gli utenti a selezionare password prevedibili, composte da parole e numeri in sequenza strettamente correlati fra loro. In questi casi è piuttosto facile indovinare la password successiva sulla base di quella precedente. I requisiti di scadenza delle password non offrono alcun vantaggio in termini di contenimento dei danni, perché i criminali informatici usano quasi sempre le credenziali subito dopo averle compromesse.

Requisiti di lunghezza delle password

I requisiti di lunghezza delle password (superiori a circa 10 caratteri) possono causare negli utenti un comportamento prevedibile e indesiderato. Ad esempio, gli utenti a cui viene richiesto di usare password di 16 caratteri potrebbero scegliere schemi ripetitivi come ottoottoottootto o passwordpassword, che soddisfano il requisito della lunghezza ma non sono difficili da indovinare. Inoltre, i requisiti di lunghezza aumentano le probabilità che gli utenti sviluppino abitudini non sicure, come annotare le password, riutilizzarle o memorizzarle nei propri documenti in formato non crittografato. Per incoraggiare gli utenti ad adottare una password univoca, è consigliabile impostare un requisito di lunghezza che non superi gli 8 caratteri.

Requisiti di complessità delle password (uso di più set di caratteri)

I requisiti di complessità delle password inducono gli utenti a ridurre la varietà di lettere scelte e ad adottare comportamenti prevedibili, causando più danni che vantaggi. La maggior parte dei sistemi applica un certo livello di requisiti di complessità delle password. Ad esempio, le password devono contenere caratteri di tutte e tre le categorie seguenti:

  • caratteri maiuscoli

  • caratteri minuscoli

  • caratteri non alfanumerici

La maggior parte delle persone usa schemi simili, ad esempio una lettera maiuscola in prima posizione, un simbolo alla fine e un numero in penultima posizione. I criminali informatici conoscono questi schemi, quindi eseguono gli attacchi con dizionario usando le sostituzioni più comuni, "$" per "s", "@" per "a," "1" per "l". Obbligare gli utenti a scegliere una combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali ha un effetto negativo. Alcuni requisiti di complessità impediscono addirittura agli utenti di usare password sicure e facili da ricordare, costringendoli a scegliere password meno sicure e più difficili da ricordare.

Criteri efficaci

Ecco alcuni suggerimenti volti a incoraggiare la diversità delle password.

Vietare le password comuni

Il più importante requisito da impostare in relazione alla creazione di password da parte degli utenti consiste nel vietare l'uso di password comuni per ridurre l'esposizione dell'organizzazione ad attacchi di forza bruta volti a violare le password. Alcune delle password più usate dagli utenti sono abdcefg, password, 123456.

Educare gli utenti a non riutilizzare le password aziendali in altre posizioni

Uno dei messaggi più importanti da comunicare agli utenti dell'organizzazione è di non riutilizzare la password aziendale per altri scopi. L'uso di password aziendali in siti Web esterni aumenta notevolmente le probabilità che i criminali informatici compromettano queste password.

Attivare la registrazione dell'autenticazione a più fattori

Assicurarsi che gli utenti aggiornino le informazioni di contatto e di sicurezza, aggiungendo ad esempio un indirizzo di posta elettronica o un numero di telefono alternativo oppure un dispositivo registrato per le notifiche push, in modo che possano rispondere alle richieste di sicurezza e ricevere notifiche sugli eventi che riguardano la sicurezza. Se si mantengono aggiornate le informazioni di contatto e di sicurezza, è più facile verificare l'identità degli utenti in caso dimentichino la password o se qualcuno tenta di assumere il controllo del loro account. Si fornisce inoltre un canale di notifica fuori banda in caso di eventi di sicurezza come tentativi di accesso o password modificate.

Per altre informazioni, vedere Configurare l'autenticazione a più fattori.

Abilitare l'autenticazione a più fattori basata sul rischio

Con l'autenticazione a più fattori basata sul rischio, quando il sistema rileva un'attività sospetta richiede all'utente di provare di essere il legittimo proprietario dell'account.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×