Consigli sui criteri relativi alle password per Office 365

Dai un'occhiata a tutti i contenuti delle piccole imprese su Small Business Help & Learning.

L'amministratore di un'organizzazione è responsabile dell'impostazione dei criteri password per gli utenti dell'organizzazione. L'impostazione dei criteri per le password può essere complicata e fonte di confusione e questo articolo fornisce consigli per rendere l'organizzazione più sicura dagli attacchi con password.

Gli account microsoft solo cloud hanno un criterio password predefinito che non può essere modificato. Gli unici elementi che è possibile modificare sono il numero di giorni fino alla scadenza di una password e la scadenza o meno delle password.

Per determinare la frequenza di scadenza delle password di Microsoft 365 nella propria organizzazione, vedere Impostare i criteri di scadenza delle password per Microsoft 365.

Per altre informazioni sulle password per Microsoft 365, vedere:

Reimpostare la password (articolo)

Impostare la password di un singolo utente in modo che non scada mai (articolo)

Consentire agli utenti di reimpostare le loro password (articolo)

Inviare nuovamente la password utente - Guida per amministratori (articolo)

È ora di ridefinire le modifiche obbligatorie delle password.

Informazioni sui suggerimenti per la scelta della password

I criteri per l'impostazione di password efficaci rientrano in tre ampie categorie:

  • Resistenza agli attacchi più comuni Questo criterio implica la scelta della posizione in cui gli utenti immettono le password (dispositivi noti e attendibili con un buon sistema di rilevamento del malware e siti convalidati) e la scelta della password stessa (lunghezza e univocità).

  • Contenimento degli attacchi riusciti Con contenimento degli attacchi riusciti si intende la limitazione dell'esposizione a un servizio specifico o la prevenzione totale del danno, in caso di furto della password di un utente. Significa ad esempio impedire che una violazione delle credenziali di social networking renda vulnerabile il conto corrente bancario o che un account poco sicuro accetti collegamenti di reimpostazione per un account importante.

  • Comprensione della natura umana Molti criteri di scelta della password, per quanto validi, soccombono di fronte al comportamento delle persone. La comprensione della natura umana è fondamentale, in quanto la ricerca dimostra che quasi tutte le regole imposte agli utenti non fanno che impoverire la qualità delle password. I requisiti relativi a lunghezza, caratteri speciali e modifica della password causano tutti una normalizzazione delle password, che rende più semplice ai pirati informatici l'impresa di indovinare o violare le password.

Linee guida per le password per gli amministratori

L'obiettivo principale di un sistema di password più sicuro è la diversità delle password. I criteri per le password dovrebbero contenere moltissime password diverse e difficili da indovinare. Ecco alcuni suggerimenti per garantire la massima sicurezza possibile per la propria organizzazione.

  • Mantenere un requisito di lunghezza minima di 14 caratteri

  • Non richiedere requisiti di composizione dei caratteri. Ad esempio, *&(^%$

  • Non richiedere la reimpostazione periodica obbligatoria delle password degli account utente

  • Vietare le password comuni per tenere fuori dal sistema le password più vulnerabili

  • Istruire gli utenti a non riutilizzare le password dell'organizzazione per scopi non lavorativi

  • Attivare la registrazione per l'autenticazione a più fattori

  • Abilitare le richieste di autenticazione a più fattori basata sul rischio

Linee guida per le password per gli utenti

Ecco alcune indicazioni per l'impostazione delle password per gli utenti dell'organizzazione. Assicurarsi che gli utenti conoscano questi suggerimenti e applichino i criteri di impostazione delle password consigliati nell'intera organizzazione.

  • Non usare una password uguale o simile a una password usata in un altro sito Web

  • Non usare un’unica parola, ad esempio password, o una frase d’uso comune, come tiamo

  • Creare password difficili da indovinare anche da parte di persone molto intime, evitando ad esempio nomi e compleanni di amici e familiari, il gruppo musicale preferito e frasi usate spesso

Alcuni approcci comuni e impatti negativi

Di seguito sono descritte alcune delle procedure di gestione delle password più usate, tuttavia le ricerche condotte hanno portato alla luce alcuni impatti negativi.

Requisiti per la scadenza delle password degli utenti

I requisiti per la scadenza delle password causano più danni che benefici, in quanto spingono gli utenti a selezionare password prevedibili, composte da parole e numeri in sequenza strettamente correlati fra loro. In questi casi è piuttosto facile indovinare la password successiva sulla base di quella precedente. I requisiti di scadenza delle password non offrono alcun vantaggio in termini di contenimento, in quanto i criminali informatici usano quasi sempre le credenziali subito dopo averle compromesse.

Requisiti minimi per la lunghezza della password

Per incoraggiare gli utenti a pensare a una password univoca, è consigliabile mantenere un requisito di lunghezza minima ragionevole di 14 caratteri.

Requisiti di complessità delle password (uso di più set di caratteri)

I requisiti di complessità delle password inducono gli utenti a ridurre la varietà di lettere scelte e ad adottare comportamenti prevedibili, causando più danni che vantaggi. La maggior parte dei sistemi applica un certo livello di requisiti di complessità delle password. Ad esempio, le password devono contenere caratteri di tutte e tre le categorie seguenti:

  • caratteri maiuscoli

  • caratteri minuscoli

  • caratteri non alfanumerici

La maggior parte delle persone usa schemi simili, ad esempio una lettera maiuscola in prima posizione, un simbolo alla fine e un numero in penultima posizione. I criminali informatici conoscono tali schemi, pertanto eseguono gli attacchi a dizionario usando le sostituzioni più comuni come, "$" per "s", "@" per "a", "1" per "l". Obbligare gli utenti a scegliere una combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali ha un effetto negativo. Alcuni requisiti di complessità impediscono addirittura agli utenti di usare password sicure e facili da ricordare, costringendoli a scegliere password meno sicure e più difficili da ricordare.

Criteri efficaci

Ecco alcuni suggerimenti volti a incoraggiare la diversità delle password.

Vietare le password comuni

Il più importante requisito da impostare in relazione alla creazione di password da parte degli utenti consiste nel vietare l'uso di password comuni per ridurre l'esposizione dell'organizzazione ad attacchi di forza bruta volti a violare le password. Le password utente comuni includono: abcdefg, password, monkey.

Istruire gli utenti a non riutilizzare altrove le password dell'organizzazione

Uno dei messaggi più importanti da comunicare agli utenti dell'organizzazione è quello di non riutilizzare altrove la password aziendale. L'uso delle password dell'organizzazione su siti Web esterni aumenta notevolmente la probabilità che i criminali informatici compromettano tali password.

Attivare la registrazione dell'autenticazione a più fattori

Assicurarsi che gli utenti aggiornino le informazioni di contatto e di sicurezza, aggiungendo ad esempio un indirizzo di posta elettronica o un numero di telefono alternativo oppure un dispositivo registrato per le notifiche push, in modo che possano rispondere alle richieste di sicurezza e ricevere notifiche sugli eventi che riguardano la sicurezza. Se si mantengono aggiornate le informazioni di contatto e di sicurezza, è più facile verificare l'identità degli utenti in caso dimentichino la password o se qualcuno tenta di assumere il controllo del loro account. Si fornisce inoltre un canale di notifica fuori banda in caso di eventi di sicurezza come tentativi di accesso o password modificate.

Per altre informazioni, vedere Configurare l'autenticazione a più fattori.

Abilitare l'autenticazione a più fattori basata sul rischio

Con l'autenticazione a più fattori basata sul rischio, quando il sistema rileva un'attività sospetta richiede all'utente di provare di essere il legittimo proprietario dell'account.

Passaggi successivi

Per saperne di più sulla gestione delle password: ecco alcune letture consigliate.

Reimpostare la password (articolo)
Impostare la password di un singolo utente in modo che non scada mai (articolo)
Consentire agli utenti di reimpostare le loro password (articolo)
Inviare nuovamente la password utente - Guida per amministratori (articolo)