Impostazione delle norme di sicurezza della password
Riassunto: Le password deboli possono essere facilmente compromesse da un attacco di forza bruta. Ciò consente agli attori delle minacce un certo grado di accesso al server, permettendo loro di deturpare i siti web ospitati, inviare spam, rubare informazioni e altro ancora.
È possibile configurare un criterio di forza delle password a livello di server che imponga la forza minima delle password per tutte le nuove password create sul server. Le password forti rendono gli attacchi di forza bruta difficili o addirittura impossibili da eseguire.
La sicurezza della password è una misura della resistenza della password ai tentativi di rilevamento o agli attacchi di forza bruta. Dipende da vari fattori, come:
- La lunghezza della password.
- La presenza di lettere maiuscole e minuscole nella password.
- La varietà di caratteri inclusi nella password (numeri, caratteri speciali, eccetera).
- La presenza all’interno della password di una o più parole tratte da un dizionario.
Se gli utenti impostano password deboli (ad esempio perché sono più facili da ricordare), possono inavvertitamente rendere il server vulnerabile agli attacchi. Per esempio:
- Se la password di una casella di posta elettronica viene compromessa, l’aggressore può utilizzarla per inviare spam, con il rischio che l’indirizzo IP del server venga aggiunto alle liste Blackhole DNS.
- Se la password di un utente del sistema viene compromessa, l’aggressore può inserire codice dannoso nei siti web dei clienti.
Tutto questo può portare a danni finanziari e di reputazione, oltre che alla perdita di dati.
Per impedire agli utenti di impostare password deboli, è possibile configurare un criterio di forza della password a livello di server. Il criterio si applica a molte (ma non a tutte) le password che un utente può impostare in Plesk. Ogni volta che un utente di Plesk imposta o modifica una password, è tenuto a modificarla finché non soddisfa i requisiti del criterio di forza della password attualmente in vigore.
È possibile scegliere tra cinque livelli di forza delle password, da «Molto debole» a «Molto forte». Più severo è il criterio di ammissibilità della password, tanto minori sono le possibilità che la password di un utente sia vulnerabile a un attacco di forza bruta.
Il modo in cui Plesk genera password forti e valuta la forza di una password corrisponde a quello dei più diffusi generatori di password di terze parti. In questo modo, si può essere certi che una password forte generata, ad esempio, da 1Password, sarà trattata come tale da Plesk. Scopri come Plesk calcola la forza delle password.
Per impostazione predefinita, il criterio di forza della password è impostato su «Forte». Potresti voler applicare un criterio più debole se, ad esempio, utilizzi un generatore di password di terze parti le cui password non sono convalidate come sufficientemente forti da Plesk.
Nota: La modifica della forza minima della password non ha effetto sulle password già impostate. La modifica avrà effetto solo sulle password impostate dopo la modifica della forza minima della password.
Le norme di sicurezza della password vengono applicate alle seguenti password:
- Password utilizzate per accedere a Plesk.
- Password degli utenti di sistema dell’abbonamento.
- Password degli utenti del database.
- Password delle caselle postali.
Le norme di sicurezza della password non vengono applicate alle seguenti password:
- Password per le applicazioni ospitate in Plesk (ad esempio, WordPress, Joomla! e così via).
- Password per i servizi gestiti da Plesk (Git, Docker).
- Backup delle password di crittografia.
- Password di archiviazione del backup remoto.
Per modificare le norme di sicurezza della password:
- Vai su Strumenti e impostazioni > Norme di sicurezza (in «Sicurezza»), quindi scorri verso il basso fino alla sezione «Sicurezza della password».
- In «Sicurezza password minima», seleziona il pulsante di opzione corrispondente alle norme di sicurezza della password desiderate.
- Fai clic su OK.
Il nuovo criterio di sicurezza delle password è ora in vigore e verrà applicato ogni volta che viene impostata o modificata una password a cui si applica il criterio.