NIS2 e Cybersicurezza

Gestione Password in Azienda: Policy e Strumenti

Pubblicato il 2026-03-27 2 min di lettura Di Redazione NIS2 Italia

"Password123", "NomeAzienda2026", il nome del figlio seguito dall'anno di nascita. Le password deboli sono ancora la norma in troppe aziende italiane, e sono responsabili dell'81% delle violazioni legate a credenziali compromesse. La NIS2 richiede misure adeguate per il controllo degli accessi, e una policy password seria e il punto di partenza.

Le regole per una policy password moderna

Le linee guida sono cambiate rispetto a qualche anno fa. Il NIST e l'ENISA non raccomandano piu la rotazione forzata delle password (ogni 90 giorni), che porta a password prevedibili ('Password1!', 'Password2!', ...). L'approccio moderno:

  • Lunghezza minima 14 caratteri — la lunghezza conta piu della complessita
  • No rotazione forzata — cambiare solo in caso di compromissione
  • Blocco password comuni — impedire l'uso di password presenti in liste di breach noti
  • MFA obbligatoria — la password da sola non basta mai, serve il secondo fattore
  • Password uniche — vietare il riuso della stessa password su piu sistemi
  • Passphrase — incoraggiare frasi lunghe e memorabili anziche stringhe casuali

Password manager aziendale

Nessuno puo ricordare 30+ password uniche e complesse. Un password manager e indispensabile. Le soluzioni aziendali (1Password Business, Bitwarden Business, LastPass Enterprise) offrono: vault condivisi per team, generazione automatica di password forti, audit delle password deboli o riutilizzate, integrazione con SSO e MFA, log di accesso per compliance. Il costo e irrisorio: 3-8 EUR/utente/mese.

SSO: Single Sign-On

Il SSO permette di accedere a piu applicazioni con un'unica autenticazione. Riduce il numero di password da gestire, migliora l'esperienza utente e centralizza il controllo degli accessi. Combinato con MFA, e la soluzione ideale per la gestione degli accessi aziendali. Azure AD, Okta e Google Workspace offrono SSO integrato.

Gestione credenziali privilegiate (PAM)

Le credenziali degli amministratori di sistema sono il bersaglio piu ambito. Una soluzione PAM (Privileged Access Management) gestisce, monitora e ruota automaticamente le password degli account admin. I sessioni privilegiate vengono registrate per audit. CyberArk, BeyondTrust e Delinea sono i leader del segmento.

Approfondimento Scopri l'MFA e la formazione cybersecurity.

Domande Frequenti

La rotazione forzata delle password e ancora consigliata?
No. NIST ed ENISA raccomandano di non forzare la rotazione periodica. Il cambio va imposto solo in caso di compromissione. La rotazione forzata porta a password prevedibili e deboli.
Un password manager e sicuro?
Si, i password manager moderni usano cifratura AES-256 e architettura zero-knowledge. Il rischio di un password manager e enormemente inferiore al rischio di password deboli o riutilizzate.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura