AGLEA SAP Security Blog

Password SAP, quali le nuove direttive?

Scritto da Massimo Manara | Jan 7, 2020 11:00:00 PM

Da sempre, o quasi (leggi qui), a protezione dell’autenticazione dei sistemi, sono state rese sempre più complicate e difficili da ricordare per gli utenti.

 

 

Esistono modi alternativi alla password ormai da anni, ma, ad oggi ancora molti sistemi trasmettono in chiaro le credenziali (Guarda qui), spesso in quanto non sono attivi i metodi di crittografia.

 

La password resta sempre il principale modo di accesso, almeno in ambito SAP nella maggior parte delle installazioni oggi.

 

Come siamo arrivati a questo punto, quali sono le complessità di gestione e quali sono le nuove direttive?

 

Lo stato attuale della password

Rappresenta il metodo più utilizzato e semplice di protezione dell’accesso ai sistemi.

Digitando la parola “password” su Google si ottengono più di un miliardo di risultati (Agosto 2018) contro, ad esempio, i 30 milioni della parola “multiple factor authentication”.

 

 

Di seguito il risultato tramite Google Trends

 

 

Ancora oggi esistono sistemi che hanno le password speciali SAP non in sicurezza. Leggi qui: utenze speciali SAP

 

Nel sito di SAP OSS (Online Service System o Support Portal) sono presenti più di 18.566 documenti legati alle password.

 

Il risultato della complessità

In tutti questi anni si sono rese sempre più complicate le regole di complessità della password.

 

Questo ha causato la necessità per gli utenti, al fine di ricordarsi le spesso numerose password, di semplificare la complessità stessa delle credenziali.

Più le regole sono complesse più gli utenti cercano password semplici da ricordare.

 

Semplificare per migliorare la sicurezza

Il NIST è il National Institute of Standards and Technology ovvero un'agenzia del governo degli Stati Uniti d'America che si occupa della gestione delle tecnologie.

 

Nella sua pubblicazione NIST sp800-63b suggerisce le nuove direttive per la gestione della password:

  • Non è necessario il cambio periodico forzato della password senza motivo
  • Suggerisce l’uso di pass phrases al posto della complessità delle password
  • Uso di software “Password Manager”

 

“Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

 

Significa allora che dobbiamo "smontare" tutto ciò che è stato fatto fino ad oggi? Non credo.

 

O meglio, se c'è stata una compromissione del sistema, non è facendo cambiare le credenziali agli utenti che il problema viene risolto. Quel sistema probabilmente è ancora vulnerabile.

 

Ecco forse le nuove direttive sopra possono essere applicate se a contorno sono attive tutta una serie di contromisure, spesso non presenti oggi.

 

Nel caso di SAP, ad esempio, un piano di aggiornamento costante dei sistemi, soprattutto per le patch di sicurezza.

 

Quale password manager?

La complessità della password e la molteplicità delle stesse da ricordare porta all’introduzione di software per storicizzare in maniera sicura le proprie password.

 

Nell’ambito SAP esiste un prodotto, modulo del SAP Single Sing On, chiamato proprio Password Manager:

 

Esistono tuttavia anche altri software sul mercato open source oppure a pagamento. Ad esempio KEEPASS.

 

L’importanza della sensibilizzazione

L’accesso ai sistemi informatici aziendali permette di venire in contatto con le informazioni dell’azienda. A seconda del tipo di abilitazioni concesse le informazioni potrebbero essere più o meno sensibili.

 

Diverse sono le tipologie di dato da considerare, dati personali, dati riservati, dati segreti. Non solo quindi normative ma anche segreti industriali.

 

Effettuare una formazione orientata a sensibilizzare l’importanza della protezione del dato è fondamentale per garantire una sicurezza di sistema elevata. Leggi qui!

  • Messaggi sulla intranet aziendale
  • Poster sulla security awareness
  • Newsletter interna

 

Conclusione

Cosa fare quindi, ecco un elenco di attività da verificare:

  • Hai protetto la comunicazione tra client e SAP?
  • Hai modificato le credenziali degli utenti speciali SAP
  • Hai migliorato, o verificato che sia l’ultimo disponibile, l’algoritmo di crittografia delle password SAP?
  • Hai fatto un audit sui tuoi sistemi SAP di come oggi sono gestite le credenziali?
  • Sai chi ha accesso alla tabella dove sono storicizzate le password delle utenze SAP?
  • Ogni utente ha un proprio password manager?
  • Hai introdotto delle logiche di Single Sing On?
  • Hai fatto formazione e sensibilizzazione?