• Sicurezza
• 25 Febbraio 2025

La gestione delle password è una sfida cruciale per ogni reparto IT, che deve adottare una strategia efficace per la conservazione sicura delle credenziali. È fondamentale trovare un equilibrio tra sicurezza e usabilità: un sistema eccessivamente complesso potrebbe infatti spingere gli utenti a creare archivi non autorizzati per semplificare l’accesso, compromettendo così la protezione dei dati.

In questa serie di articoli analizzeremo i diversi approcci per la gestione di un archivio delle password, valutandone vantaggi e svantaggi al fine di scegliere la soluzione più adatta al proprio scenario aziendale.

In questo primo articolo approfondiremo dettagliatamente le implicazioni dell’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali.

Best practices per l’utilizzo di documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale

L’utilizzo di documento Word o di un foglio Excel per archiviare l’elenco delle password è sicuramente l’approccio più semplice ed anche molto diffuso, ma come vedremo paga questa sua semplicità d’implementazione con diverse criticità dal punto di vista della sicurezza.

Per questo motivo occorre implementare più livelli di protezione se si desidera utilizzare tale approccio per la gestione del repository delle credenziali. Di seguito i punti essenziali che occorre tenere presente per assicurare un minimo livello di sicurezza:

1. Proteggere e crittografare il documento: impostare una password di accesso che oltre ad impedire accessi non consentiti permetterà anche di crittografare il documento.
2. Proteggere l’accesso al documento: rendere disponibile il documento tramite una share e impostare sia la condivisione che il file system affinché l’accesso al file sia consentito solo agli utenti autorizzati.
3. Protezione fisica del documento: memorizzare il documento su file system crittografato (ad esempio tramite EFS).

Rischi di sicurezza dell’utilizzo di documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale

Uno dei principali rischi di sicurezza a cui è esposto l’archivio delle credenziali gestito tramite un documento Office è che il file venga esfiltrato da utenti malevoli se l’utente con i privilegi di accesso viene compromesso. Sebbene sia possibile proteggere e crittografare il documento, ad esempio tramite Word o Excel, questo non esclude il fatto che il file potrebbe essere vulnerabile a tentativi di individuazione della password mediante forza bruta, a riguardo si vedano i miei post Protezione file di Office con password e gestione della password dimenticata – DevAdmin Blog e Script PowerShell per ricerca della password di protezione di un file Word – DevAdmin Blog.

Un altro aspetto da tenere in considerazione è che nel caso si acceda al file da un dispositivo compromesso da malware o keylogger un attaccante potrebbe intercettare la password durante la digitazione, inoltre il file o alcune informazioni potrebbero rimanere in memoria ed essere estratte da malware che implementano attacchi basati sulla cache o sulla memoria.

Per quanto riguarda l’algoritmo criptografico utilizzato in Office è possibile fare riferimento al seguente Cryptography and encryption in Office 2016 – Office | Microsoft Learn dove viene riportato che l’algoritmo utilizzato è l’AES (Advanced Encryption Standard) con una lunghezza della chiave a 256 bit, SHA-2 e CBC (concatenamento di blocchi di crittografia):

“In Office 2016, while there are settings to modify encryption methods, encrypting Open XML Format files (.docx, .xslx, .pptx, etc.) with the default values — AES (Advanced Encryption Standard) with a 256-bit key length, SHA-2, and CBC (cipher block chaining) — provides robust encryption suitable for most organizations. The National Security Agency (NSA) chose AES encryption as the strongest industry-standard algorithm for the United States Government’s standard. AES encryption is compatible with various Windows operating systems, including Windows Vista, Windows 7, Windows 8, and Windows 10. It also supports multiple Windows Server versions: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, and Windows Server 2012.”

Si noti che tale algoritmo criptografico è però utilizzato solo nei documenti salvati in formato Open XML (.docx, .xlsx, .pptx etc.), mentre nei documenti in formato Office 97-2003 (.doc, .xls, .ppt etc.) l’algoritmo di crittografia utilizzato è l’RC4, a riguardo si veda Cryptography and encryption in Office 2016 – Office | Microsoft Learn:

“If you have to encrypt Office documents, we recommend that you save the documents as Open XML Format files (.docx, .xlsx, .pptx, and so on) instead of Office 97-2003 format (.doc, .xls, .ppt, and so on). The encryption that is used for binary documents (.doc, .xls, .ppt) uses RC4. It isn’t recommended, as discussed in Security Considerations sections 4.3.2 and 4.3.3 of the Office Document Cryptography Structure Specification. Documents that are saved in the older Office binary formats can only be encrypted by using RC4 to maintain compatibility with older versions of Office. AES, the default and recommended encryption algorithm, is used to encrypt Open XML Format files.”

Sebbene l’RC4 sia stato uno tra i più diffusi algoritmi di cifratura a flusso a chiave simmetrica (usato ad esempio in protocolli quali l’SSL ed il WEP), ma paga la sua semplicità in termini di sicurezza. L’algoritmo RC4 è infatti molto debole e violabile con relativa facilità e velocità, tanto che il suo uso non è più consigliabile.

Per maggiori dettagli sull’implementazione della crittografia in Office si veda [MS-OFFCRYPTO]: Office Document Cryptography Structure.

Per quanto riguarda la lunghezza della password mediante cui proteggere il documento Office in Office 2007 e successivi potrà avere un massimo di 255 caratteri, a riguardo si veda ModificationVerifier Class (DocumentFormat.OpenXml.Presentation) | Microsoft Learn:

“The password supplied to the algorithm is to be a UTF-16LE encoded string; strings longer than 255 characters are truncated to 255 characters. If there is a leading BOM character (U+FEFF) in the encoded password it is removed before hash calculation. The attributes of this element specify the algorithm to be used to verify the password provided by the user.”

Nelle versioni di Office precedenti alla 2007 la lunghezza della password mediante cui proteggere il documento invece poteva avere un massimo di 15 caratteri, a riguardo si veda ad esempio [MS-XLS]: Appendix A: Product Behavior | Microsoft Learn:

“In Excel 97, Excel 2000, Excel 2002, and Office Excel 2003 the maximum password length is 15 characters. In Office Excel 2007 and Excel 2010 the maximum password length is 255 characters..”

Nella scelta della password può tornare utile la seguente tabella ottenuta generando password casuale di diversa lunghezza con la massima complessità (lettere maiuscole, lettere minuscole, numeri e simboli) tramite Password Generator | Secure & Strong Password Tool | Security.org verificando poi i tempi necessari ad un computer per individuare la password mediante forza bruta tramite How Secure Is My Password? | Password Strength Checker | Security.org:

Ne consegue che per scongiurare la possibilità di individuare la password mediante tentativi a forza bruta condotti in parallelo, conviene impostare una password casuale complessa di lunghezza superiore ai 15 caratteri.

Vulnerabilità di un documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale

Utilizzando un documento è creato con Word o Excel come repository delle credenziali occorre tenere presente che le vulnerabilità non corrette di Office potrebbero essere sfruttate per accedere ai contenuti del file senza dover inserire la password.

Di seguito una bella riassuntiva delle vulnerabilità scoperte negli ultimi tre anni relative alle versioni di Word e Excel supportate, i dati sono stati ricavati tramite il sito cve.mitre.org. Ovviamente per queste vulnerabilità sono state rilasciate degli aggiornamenti, ma queste potevano essere sfruttate fino anche non sono diventate di dominio pubblico e fino a quando sul sistema non state applicati gli aggiornamenti relativi.

Ne consegue che è importante mantenere aggiornate le applicazioni office tramite cui si gestisce il repository delle credenziali e ovviamente è altrettanto fondamentale aggiornare il sistema operativo e ogni altra applicazione installate sul computer da cui si gestisce l’elenco delle password.

Inoltre dal momento che in uno scenario aziendale il documento tramite cui archivia l’elenco delle password è mantenuto su di una share occorre prestare attenzione a mantenere aggiornati i sistemi su cui è memorizzato ed esposto tramite il protocollo SMB tale documento. Infatti se il documento è salvato su una share occorre tenere presente che vulnerabilità o erronee configurazioni di sicurezza a livello di file system e/o di condivisione potrebbero consentire l’accesso al file.

Considerazioni relative agli attacchi Ransomware quando si utilizza un documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale

Nel caso si utilizzi un documento è creato con Word o Excel come repository delle credenziali ci si espone ad una serie di rischi nel caso si subisca un attacco Ransomware che colpisce anche il documento:

1. Dal momento che I ransomware crittografano il file l’elenco delle password diventa inaccessibile, bloccando l’accesso ai sistemi aziendali critici, a meno che non vene sia una copia di sicurezza. La copia di sicurezza potrebbe essere ad esempio una copia stampata conservata in un archivio provvisto di serratura e fuori dai locali aziendali per garantire anche la disponibilità del repository delle password nel caso di incendio nei locali aziendali. In alternativa la copia di sicurezza può essere mantenuta in uno storage online, ma in questo caso bisogna assicurarsi che sui computer non vi siano credenziali salvate per l’accesso a tale storage e assicurarsi che l’accesso quando necessario avvenga sempre tramite la modalità In private del browser senza utilizzare client per l’accesso, in caso contrario la compromissione di un computer che ha accesso alla copia di sicurezza la metterebbe a rischio di esfiltrazione.
2. Alcuni attacchi ransomware non si limitano a crittografare i dati, ma li esfiltrano prima di bloccarli, questo implica che la riservatezza delle credenziali viene messa a rischio, a riguardo si veda il mio post Ransomware: evoluzione delle minacce – DevAdmin Blog. Nell’ipotesi che il file dell’elenco delle password sia stato esfiltrato occorre fare in modo che tale file non desti l’attenzione degli attaccati, quindi, ispirandosi ai principi della steganografia, si potrebbe pensare di dare al file un nome ed una estensione che non siano riconducibili ad un elenco delle password ed ovviamente anche la directory in cui è memorizzato non dovrebbe indurre a pensare che contenga un repository di credenziali. Ovviamente se vengono analizzati gli header de file esfiltrati l’attaccante rileverà che si tratta di un file Word o Excel a prescindere dall’estensione. Per occultare ulteriormente il file, a scapito della praticità di fruizione, si potrebbe pensare di comprimerlo con password generando un file eseguibile autoestraente il cui nome induca a pensare che si tratti di un programma acquistato per cui possa avere senso che sia stato protetto con password inducendo l’attaccante che lo esaminasse a ritenerlo privo di interesse.

Nel caso in cui il file Word o Excel utilizzato come repository delle credenziali sia oggetto di un attacco occorre predisporre una procedura aziendale che consenta di cambiare in tempi rapidi tutte le credenziali. Inoltre ipotizzando che le credenziali siano state violate appare evidente che le password devono essere assolutamente casuali per evitare che l’attaccante possa rilevare uno schema di generazione delle stesse tramite cui individuare con attacchi a forza bruta anche le credenziali modificate.

Vantaggi e limitazioni dell’utilizzo di documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale

Escludendo gli aspetti legati alla sicurezza, nella seguente tabella vengono riassunti i principali vantaggi e limitazioni dell’uso di un documento Word o di un foglio Excel come repository delle credenziali.

Nel casi opti per utilizzare un documento Word o Excel come archivio dell’elenco delle password si valuti di implementare DocRecrypt per sbloccare il file ed eventualmente assegnare una nuova password, a riguardo si veda Remove or reset file passwords in Office 2016 – Office | Microsoft Learn.

Considerazioni finali

Di seguito una tabella con gli aspetti essenziali da tenere conto nel caso si utilizzi un documento Word o un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale.

L’utilizzo di documento Word o di un foglio Excel per archiviare l’elenco delle password in una infrastruttura IT aziendale è esposto ad una serie di rischi da considerare attentamente quindi è necessario un backup offline del file, sia per riuscire a gestire un attacco ransomware che un errore umano.

Oltre che in scenari in cui le credenziali da gestire siano in numero limitato, l’utilizzo un documento Word o un foglio Excel per archiviare l’elenco delle password potrebbe essere adatto in ambienti con requisiti di isolamento totale (air-gapped) ovvero infrastrutture con reti isolate (es. ambienti altamente sicuri come laboratori di ricerca, sistemi industriali SCADA, infrastrutture critiche) in cui l’utilizzo di un software per la gestione delle password non è permesso per motivi normativi o di conformità.