Sulla base delle ricerche effettuate su letteralmente miliardi di tentativi di accesso al suo servizio cloud Azure, Microsoft aggiorna le sue raccomandazioni in materia di password, eliminando diverse best practice del settore da tempo consolidate.
Microsoft ha recentemente pubblicato un white paper, "Microsoft Password Guidance"che illustra le nuove linee guida per le password, basate sull'enorme quantità di dati raccolti per il login ad Azure AD. (Alcuni di questi dati sono quelli che si potrebbero pensare... ma altri sfidano la saggezza convenzionale in materia di password.
L'autore (Robyn Hicock del Microsoft Identity Protection Team, con un lungo elenco di collaboratori tra i membri del suo team, Microsoft Research e Microsoft IT) afferma che le pratiche di vecchia data in materia di password non reggono di fronte ai moderni attacchi orientati alle credenziali. Inoltre, alcune di queste politiche aumentano la facilità con cui le password possono essere compromesse e dovrebbero quindi essere cambiate o abbandonate del tutto.
Microsoft consiglia sette azioni per garantire la massima protezione dell'identità basata su password:
- Mantenere un requisito di lunghezza minima di 8 caratteri (e più lungo non è necessariamente meglio).
- Eliminare i requisiti di composizione dei personaggi.
- Eliminare la reimpostazione periodica obbligatoria della password per gli account utente.
- Vietate le password più comuni, per tenere fuori dal sistema quelle più vulnerabili.
- Istruite i vostri utenti a non riutilizzare la password per scopi non lavorativi.
- Applicare la registrazione per l'autenticazione a più fattori.
- Abilitare le sfide di autenticazione a più fattori basate sul rischio.
Esaminiamo le raccomandazioni più insolite che influiscono direttamente sul modo in cui un'organizzazione imposta i propri criteri per le password di dominio.
Eliminare gli anti modelli
Mantenere un requisito di lunghezza minima di 8 caratteri. La ricerca Microsoft ha rilevato che le password web lunghe e complesse sono un peso per gli utenti (non c'è da sorprendersi), ma in realtà hanno un'efficacia limitata per diversi motivi. La forza della password è irrilevante se l'utente viene colto da un attacco di phishing e la fornisce, oppure se sul suo sistema è presente un malware keylogger. Secondo gli autori, questi sono gli attacchi più comuni. La password deve essere abbastanza forte da resistere a una regola di blocco del tipo "three strikes". Si noti che, sebbene questo studio riguardi le password web, non c'è motivo per cui non debba essere applicato anche alle password di Active Directory (e alla propria politica di blocco).
Eliminare i requisiti di composizione dei caratteri. Questa è una bella idea in astratto, ma Microsoft e altri (Bruce Schneier) hanno scoperto che, di fronte ai requisiti di complessità delle password, le persone cadono in alcuni schemi riconoscibili che i programmi di cracking delle password sfruttano. Ad esempio, è emerso che una password tipica consiste in una radice, di solito qualcosa di pronunciabile, più un suffisso come un numero. E sì, sanno che si usa "$" per "s", "!" per "i" e così via!
Eliminare l'obbligo di reimpostare periodicamente la password per gli account utente. Le modifiche periodiche delle password, ancora una volta una bella idea in linea di principio, falliscono quando vengono eseguite dal cervello umano. Perché? Perché le persone tendono a creare la loro nuova password sulla base di quella vecchia, in modo molto prevedibile. Inoltre, poiché i criminali utilizzano le password non appena le compromettono, non c'è alcun vantaggio nel contenimento (ad esempio, gli avvisi "Siamo stati compromessi; per favore, cambi la password per evitare che il suo account venga violato" sono troppo tardivi).
Il consiglio aggiornato di Schneier e di Microsoft è che, a meno che non pensiate che la vostra password possa essere compromessa, non cambiatela. Modificherei questa raccomandazione dicendo di rafforzare le password nel tempo, ma di non cercare di tenerne traccia da soli: inchinatevi ai nostri padroni robotici e utilizzate un'utility come LastPass per generare password lunghe, complesse e non memorizzabili e memorizzarle nel suo caveau crittografato. A quel punto dovrete ricordare solo una password complessa, la master password del vostro caveau. Una volta ceduta la gestione a un'utility di questo tipo, la libertà è davvero totale: potete creare all'istante una password pelosa di 18 caratteri come "wO2AECJ^OZhbXwY#0Y" per un sito web e avere la certezza che sia praticamente impossibile da decifrare.
Applicare i modelli di successo
Vietare le password comuni. Microsoft ritiene che il passo più importante da compiere per la sicurezza sia quello di bandire dal sistema un elenco di password deboli conosciute (ad esempio abcdefg, passw0rd, ecc.) per rafforzarlo contro gli attacchi brute-force. Microsoft ha scoperto che il divieto di queste password (come avviene per Azure AD) è molto efficace per eliminare le password deboli dal sistema.
Se state leggendo questo articolo in un'azienda tradizionale, probabilmente starete pensando: "Tutto questo è ottimo, ma come posso implementare una politica del genere nel mio ambiente Active Directory on-premises?". Se siete esperti di AD come me, sapete che questo richiede un filtro password personalizzato che deve essere installato su tutti i controller di dominio AD e che Microsoft non fornisce funzionalità di divieto delle password in modo immediato.
Esistono prodotti di terze parti come Anixis Password Policy Enforcer o nFront Password Filter che forniscono questa funzionalità. Secondo quanto riferito, Microsoft sta lavorando al proprio supporto per questa funzionalità; nel suo feed di Twitter, l'autrice dice "Abbiamo qualcosa in cantiere per questo. Restate sintonizzati", ma ovviamente non c'è modo di stabilire quando questa funzionalità sarà disponibile. Poiché questa funzionalità deve integrarsi con Windows Server Active Directory, il tempo necessario dipende da come viene implementata. Se fa parte di Active Directory, il tempo per essere profondamente integrata in Windows Server 2016 è passato, il che significa un'attesa di due anni fino al rilascio della prossima versione di Windows Server. Un filtro password aggiornato (passfilt.dll) può essere reso disponibile come download in qualsiasi momento.
Educate i vostri utenti a non riutilizzare la password per scopi non lavorativi. Non è difficile ipotizzare che, una volta stabilita quella che un utente considera una buona password per il lavoro, la riutilizzi per altri siti. Purtroppo, è una pratica talmente comune che i criminali provano sempre credenziali compromesse su molti siti; Microsoft vede 12 milioni di credenziali trapelate (Microsoft mantiene un ampio elenco di credenziali compromesse) testate contro i propri sistemi ogni giorno.
È un modello molto difficile da applicare, perché è possibile farlo solo con l'educazione degli utenti. Ed è una battaglia in salita perché rende le cose più difficili per gli utenti.
Imporre la registrazione per l'autenticazione a più fattori. L'autenticazione a più fattori (MFA) viene rapidamente adottata dalle aziende e dai grandi fornitori SaaS. Disporre di un secondo set di informazioni di sicurezza (come un indirizzo e-mail alternativo o un numero di telefono cellulare) che può essere verificato fuori banda, migliora notevolmente la sicurezza. Attivate l'MFA ogni volta che potete! Sì, può essere una piccola seccatura, ma di gran lunga inferiore a un account compromesso.
Abilitazione delle sfide di autenticazione a più fattori basate sul rischio. Questo modello porta l'MFA a un livello superiore, attivando una richiesta di MFA quando viene rilevata un'attività sospetta (come un indirizzo IP geograficamente diverso da quello con cui l'utente ha effettuato l'accesso in precedenza). Naturalmente, ciò richiede che la funzionalità sia disponibile nel sistema di sicurezza di accesso.
Se la vostra azienda ha dei requisiti di conformità, potreste non essere in grado di implementare alcuni o tutti questi suggerimenti. Tuttavia, è sempre bene essere consapevoli di ciò che accade nel mondo reale. E non c'è mondo più reale dei dati provenienti da un luogo con 10 milioni di attacchi al giorno.
