L'80% delle violazioni aziendali nel 2025 e partito da una password compromessa (Verizon DBIR 2025). Non da un attacco sofisticato, non da un hacker geniale: da "Password123!" riutilizzata su tre servizi diversi, o da "Mario.2024" scritta su un post-it attaccato al monitor. Se la tua azienda non ha una policy password aggiornata e la MFA attiva su tutti gli account critici, non e questione di se verrai violato, ma di quando. Questa guida copre l'angolo che manca: non i tool (per quelli c'e la nostra guida ai password manager), ma le policy, le regole e i processi che trasformano le password da anello debole a prima linea di difesa.
Le Statistiche che Ogni IT Manager Deve Conoscere
Prima di parlare di policy, i numeri che giustificano l'investimento:
- 80% delle violazioni parte da credenziali compromesse (Verizon DBIR 2025)
- 65% dei dipendenti riutilizza la stessa password su piu account (Google/Harris Poll 2025)
- 15 miliardi di credenziali rubate disponibili sul dark web (Digital Shadows 2025)
- 287 giorni il tempo medio per scoprire una violazione da credenziali rubate (IBM CODB 2025)
- 3,4 milioni EUR il costo medio di un data breach per una PMI europea (IBM CODB 2025)
- 99,9% degli attacchi basati su credenziali viene bloccato dalla MFA (Microsoft Security Report 2025)
Il dato che conta di piu: il 99,9% degli attacchi si ferma con la MFA. Eppure, secondo il Rapporto Clusit 2025, solo il 37% delle PMI italiane ha la MFA attiva su tutti gli account aziendali. Il restante 63% sta giocando alla roulette russa con le proprie credenziali.
Linee Guida NIST 2025: Cosa Cambia per le Password Aziendali
Il NIST (National Institute of Standards and Technology) ha aggiornato le sue linee guida sulle password (SP 800-63B) nel 2025, ribaltando molte "buone pratiche" che le aziende seguivano da anni. Ecco le novita principali:
Cosa NON fare piu (e che molte aziende fanno ancora)
- Non forzare il cambio periodico — il cambio ogni 60-90 giorni porta a password prevedibili (Password1!, Password2!, Password3!). Il NIST raccomanda il cambio solo in caso di sospetta compromissione.
- Non richiedere composizione complessa — obbligare maiuscole, numeri e caratteri speciali produce "P@ssw0rd!" che gli attaccanti conoscono benissimo. Meglio una passphrase lunga.
- Non usare domande di sicurezza — "nome da nubile della madre" e reperibile su Facebook in 30 secondi.
- Non troncare le password — se l'utente inserisce 30 caratteri, il sistema deve accettarli tutti, non troncare a 16.
Cosa fare (le nuove raccomandazioni)
- Minimo 12 caratteri — la lunghezza conta piu della complessita. Una passphrase come "cavallo-batteria-graffetta-blu" e piu sicura e memorizzabile di "Xy7$kQ9!"
- Blacklist delle password comuni — blocca le 100.000 password piu usate (123456, password, qwerty, nome dell'azienda + anno). Active Directory con Azure AD Password Protection lo fa nativamente.
- MFA obbligatoria — la password da sola non basta mai, neanche se lunga 40 caratteri. Il secondo fattore e il vero livello di protezione.
- Password manager aziendale — un vault centralizzato elimina il riuso e la memorizzazione manuale. Approfondisci nella nostra guida alla gestione password aziendale.
MFA: il Singolo Investimento con il Miglior ROI di Sicurezza
Se devi scegliere una sola cosa da implementare oggi, scegli la MFA. Blocca il 99,9% degli attacchi basati su credenziali e costa zero (su Microsoft 365) o pochi euro al mese. La nostra pagina sull'autenticazione aziendale approfondisce tutti i metodi (push, TOTP, FIDO2, passkey) con la tabella comparativa.
Dove attivare la MFA immediatamente:
- Account admin — il bersaglio numero uno. Se l'admin non ha la MFA, tutto il resto e inutile.
- Email aziendale (Microsoft 365 / Google Workspace) — la casella email e la chiave per resettare tutte le altre password.
- VPN e accesso remoto — il 60% degli attacchi ransomware entra tramite VPN senza MFA (Sophos 2025).
- Gestionali e CRM — contengono dati di clienti, fatturato, prezzi: il cuore del business.
- Tutti gli altri account — completare il rollout entro 30 giorni dall'inizio.
Confronto Password Manager Aziendali 2026
Un password manager elimina il problema alla radice: nessun dipendente deve ricordare (o riusare) password. Ecco un confronto onesto tra le tre piattaforme piu usate dalle PMI italiane.
| Caratteristica | Keeper Business | Bitwarden Teams | 1Password Business |
|---|---|---|---|
| Prezzo/utente/mese | 3,75 EUR | 4 USD (~3,70 EUR) | 7,99 USD (~7,40 EUR) |
| Architettura | Zero-knowledge, cloud proprietario | Open-source, self-host opzionale | Zero-knowledge, cloud proprietario |
| Compliance | SOC 2, ISO 27001, GDPR | SOC 2, GDPR, audit indipendente codice | SOC 2, GDPR |
| SSO (SAML/OIDC) | Si (add-on Enterprise) | Si (piano Enterprise) | Si (incluso) |
| Condivisione vault | Cartelle team + ruoli granulari | Collections + gruppi | Vault condivisi + guest access |
| Audit log | Completo + SIEM integration | Completo (Enterprise) | Completo + Splunk/Datadog |
| Interfaccia utente | Buona | Funzionale, meno polish | Eccellente, la piu intuitiva |
| Ideale per | PMI compliance-oriented | PMI attente al budget, team tecnici | PMI che vogliono adozione rapida |
Raccomandazione BullTech: per la maggior parte delle PMI con meno di 50 utenti, Bitwarden Teams offre il miglior rapporto qualita-prezzo. Per aziende con requisiti di compliance stringenti (NIS2, ISO 27001), Keeper Business ha le certificazioni piu complete. Per chi vuole la massima facilita d'uso e punta sull'adozione spontanea dei dipendenti, 1Password ha l'interfaccia migliore (ma costa il doppio).
Checklist: Audit Policy Password Aziendale
Usa questa checklist per verificare lo stato delle password nella tua azienda. Ogni punto non soddisfatto e un rischio concreto:
- La MFA e attiva su tutti gli account admin (Microsoft 365, firewall, VPN, Active Directory)
- La MFA e attiva sulle email di tutti i dipendenti
- La policy richiede almeno 12 caratteri (non 8)
- Non c'e cambio password obbligatorio periodico (solo su compromissione)
- E attiva la blacklist delle password comuni su Active Directory / Entra ID
- Un password manager aziendale e in uso (non fogli Excel o post-it)
- Le credenziali condivise (account di servizio) sono gestite nel vault, non via email
- Il team ha ricevuto formazione anti-phishing negli ultimi 12 mesi
- Le credenziali aziendali vengono confrontate periodicamente con database di breach (HaveIBeenPwned)
- Esiste una procedura documentata per la compromissione delle credenziali (chi contattare, cosa fare, in che tempi)
Se hai meno di 7 punti su 10, la tua azienda ha un rischio password significativo. La buona notizia: la maggior parte di queste azioni si implementa in 1-2 settimane con il supporto giusto.
La NIS2 e le Password: Cosa Richiede la Normativa
La direttiva NIS2 (art. 21) richiede esplicitamente "policy e procedure per l'uso della crittografia e della cifratura" e "policy di sicurezza dell'accesso", che includono l'autenticazione multifattore. Per le PMI nei settori essenziali e importanti, questo si traduce in:
- MFA attiva su tutti gli accessi ai sistemi critici
- Policy password documentata e applicata tecnicamente (non solo su carta)
- Procedura di risposta alla compromissione delle credenziali
- Formazione periodica dei dipendenti sulla sicurezza degli accessi
- Audit periodico delle policy di autenticazione
Le sanzioni per non conformita arrivano fino al 2% del fatturato annuo. Per approfondire: il nostro servizio di sicurezza informatica include l'assessment NIS2 completo.
FAQ
Ogni quanto far cambiare le password ai dipendenti?
Le linee guida NIST 2025 raccomandano di non forzare la rotazione periodica. Il cambio ogni 60-90 giorni produce password prevedibili. Meglio: password lunghe e uniche, cambio solo su sospetta compromissione, e MFA come secondo livello.
Quale password manager aziendale scegliere?
Bitwarden Teams per il miglior rapporto qualita-prezzo (4 USD/utente/mese, open-source). Keeper per la compliance (SOC 2, ISO 27001). 1Password per la facilita d'uso. Approfondisci nella nostra guida ai password manager aziendali.
La MFA rende le password meno importanti?
La MFA blocca il 99,9% degli attacchi da credenziali, ma le password restano il primo livello. L'ideale e: password forte + MFA + password manager. Le passkey FIDO2 eliminano del tutto le password, ma nel 2026 non tutti i servizi le supportano.
Come faccio un audit delle password aziendali?
Usa Specops Password Auditor (gratuito per Active Directory) o le funzioni di audit del password manager aziendale. Controlla: percentuale MFA attiva, password compromesse (HaveIBeenPwned), rispetto della policy di lunghezza, credenziali condivise impropriamente.
Le password devono avere caratteri speciali obbligatori?
Le linee guida NIST 2025 dicono di no. Forzare caratteri speciali produce "P@ssw0rd!". La raccomandazione: minimo 12 caratteri, meglio una passphrase, nessun obbligo di composizione, e blocco delle password comuni tramite blacklist.