Gestione delle password

Attualmente, le credenziali di nome utente e password sono le credenziali più comuni usate per l'autenticazione. Anche se altri tipi di credenziali, ad esempio certificati e biometrici, stanno iniziando a trovare il loro modo nel mondo dei sistemi e delle reti, spesso sono sottoposti a backup da password. E, anche quando vengono usati i certificati, le chiavi di crittografia devono essere protette. Quindi, i nomi utente e le password continueranno a essere usati per le credenziali nel prossimo futuro.

Dato che le password e le chiavi di crittografia rimarranno in uso per un po' di tempo, è importante che i sistemi software le utilizzino in modo sicuro. Se un sistema di rete o computer deve rimanere sicuro, le password devono essere protette da intrusi. Questo potrebbe, in un primo momento, sembrare semplice. Tuttavia, sistema dopo sistema e rete dopo rete sono stati compromessi perché un attaccante è stato in grado di individuare le password degli utenti. I problemi vanno da utenti che condividono le password con qualcuno, al software che può essere penetrato da un utente malintenzionato.

È impossibile archiviare le informazioni segrete nel software in modo completamente sicuro. E poiché l'archiviazione di password e chiavi di crittografia in un sistema software non può mai essere completamente sicura, è consigliabile non essere archiviate in un sistema software.

Tuttavia, quando le password devono essere archiviate in un sistema software, che in genere è il caso, esistono precauzioni che possono essere prese. La precauzione principale consiste nel rendere il più difficile possibile per un intruso di individuare una password. Proprio come bloccare le porte della casa, se qualcuno è determinato a rompere, è quasi impossibile impedirgli di farlo. Ma speriamo che tu abbia alzato il livello di difficoltà a sufficienza affinché l'aspirante intruso preferisca trovare una preda più facile.

Esistono molti modi per rendere più difficile l'individuazione delle password da parte di un utente malintenzionato. Tuttavia, l'entità di ciò che può effettivamente essere fatto è in genere un compromesso con ciò che gli utenti della rete o del sistema sono disposti a vivere con. Ad esempio, prendere il caso in cui "Single Sign-On" non viene usato e all'utente viene richiesta una password ogni volta che viene avviata un'applicazione. Nella maggior parte dei casi, ciò potrebbe comportare un onere significativo per gli utenti e probabilmente si lamentano. Non solo, ma la mancanza di un accesso Single Sign-On è inefficiente e degraderebbe la produttività degli utenti. Quindi, praticamente parlando, una password in genere non viene raccolta da un utente, ad eccezione del momento dell'accesso.

Dato che le password devono in genere essere archiviate nel sistema software, diventa importante assicurarsi che le password vengano mantenute il più sicure possibile e che la comodità per gli utenti venga mantenuta. Per altre informazioni, vedere gli argomenti seguenti:

• Valutazione delle minacce alla sicurezza delle password
• tecniche di mitigazione delle minacce

Nota

Al termine dell'uso delle password nelle applicazioni, cancellare le informazioni riservate dalla memoria chiamando la funzione SecureZeroMemory.