Tecniche di mitigazione delle minacce
Esistono numerose tecniche di mitigazione delle minacce che è possibile usare per proteggere meglio le password. Queste tecniche vengono implementate usando una o più delle quattro tecnologie primarie seguenti.
| Tecnologia | Descrizione |
|---|---|
| Cryptoapi | CryptoAPI fornisce un set di funzioni che consentono di applicare routine crittografiche alle entità di destinazione. CryptoAPI può fornire hash, digest, crittografia e decrittografia, per menzionare la relativa funzionalità primaria. CryptoAPI include anche altre funzionalità. Per informazioni sulla crittografia e su CryptoAPI, vedere Cryptography Essentials.To learn about cryptography and the CryptoAPI, see Cryptography Essentials. |
| Elenchi di controllo di accesso | Un elenco di controlli di accesso (ACL) è un elenco di protezioni di sicurezza applicabili a un oggetto. Un oggetto può essere un file, un processo, un evento o qualsiasi altro oggetto con un descrittore di sicurezza. Per altre informazioni sugli elenchi di controllo di accesso, vedere elenchi di Controllo di accesso (ACL). |
| API protezione dei dati | L'API protezione dati (DPAPI) fornisce le quattro funzioni seguenti usate per crittografare e decrittografare i dati sensibili: CryptProtectData, CryptUnprotectData, CryptProtectMemory e CryptUnprotectMemory. |
| Nomi utente archiviati e password | Funzionalità di archiviazione che semplifica la gestione delle password degli utenti e altre credenziali, ad esempio chiavi private, più semplici, coerenti e sicure. Per altre informazioni su questa funzionalità, vedere CredUIPromptForCredentials. |
Queste tecnologie non sono disponibili in tutti i sistemi operativi. Pertanto, la misura in cui la sicurezza può essere migliorata dipende da quali sistemi operativi sono coinvolti. Ecco le tecnologie disponibili in ogni sistema operativo.
| Sistema operativo | Tecnologia |
|---|---|
| Windows Server 2003 e Windows XP |
|
| Windows 2000 |
|
Le seguenti tecniche di mitigazione delle minacce usano una o più delle quattro tecnologie. Le tecniche che richiedono l'uso di tecnologie non incluse nel sistema operativo non possono essere usate.
Recupero di password dall'utente
Quando si consente all'utente di configurare una password, forzare l'uso di password complesse. È ad esempio necessario che le password siano una lunghezza minima, ad esempio otto caratteri o più. Le password devono essere necessarie anche per includere lettere maiuscole e minuscole, numeri e altri caratteri di tastiera, ad esempio il segno dollaro ($), il punto esclamativo (!) o maggiore di (>).
Dopo aver visualizzato una password, usarla rapidamente (usando il minimo codice possibile) e quindi cancellare tutte le vestigia della password. Ciò riduce al minimo il tempo disponibile per un intruso per "trappola" della password. Il compromesso con questa tecnica è la frequenza con cui la password deve essere recuperata dall'utente; tuttavia, il principio deve essere impiegato ovunque possibile. Per informazioni su come ottenere correttamente le password, vedere Chiedere l'utente per le credenziali.
Evitare di fornire le opzioni dell'interfaccia utente "ricorda la password". Spesso, gli utenti richiedono di avere questa opzione. Se è necessario specificarlo, assicurarsi almeno che la password venga salvata in modo sicuro. Per informazioni, vedere la sezione Archiviazione password, più avanti in questo argomento.
Limita la voce della password tenta. Dopo un certo numero di tentativi senza esito positivo, bloccare l'utente per un determinato periodo di tempo. Facoltativamente, il tempo di risposta per ogni tentativo supera un massimo. Questa tecnica è destinata a sconfiggere un attacco indovinante.
Archiviazione delle password
Non archiviare mai le password in testo non crittografato (non crittografato). La crittografia delle password aumenta notevolmente la sicurezza. Per informazioni sull'archiviazione di password crittografate, vedere CryptProtectData. Per informazioni sulla crittografia delle password in memoria, vedere CryptProtectMemory. Archiviare le password nel minor numero possibile di posizioni. Più posiziona una password archiviata, maggiore è la possibilità che un intruso possa trovarlo. Non archiviare mai le password in una pagina Web o in un file basato sul Web. L'archiviazione delle password in una pagina Web o in un file basato sul Web consente loro di essere facilmente compromessi.
Dopo aver crittografato una password e archiviata, usare elenchi di controllo di accesso sicuri per limitare l'accesso al file. In alternativa, è possibile archiviare le password e le chiavi di crittografia nei dispositivi rimovibili. L'archiviazione di password e chiavi di crittografia in un supporto rimovibile, ad esempio una smart card, consente di creare un sistema più sicuro. Dopo aver recuperato una password per una determinata sessione, la scheda può essere rimossa, rimuovendo così la possibilità che un intruso possa ottenere l'accesso a esso.