Migliori pratiche per la sicurezza degli account

Scopo

Questo manuale descrive i meccanismi di sicurezza disponibili nell'Area clienti INTROSERV e le pratiche consigliate per proteggere il proprio account. Specifica gli strumenti disponibili, le modalità di utilizzo e le migliori pratiche per prevenire gli accessi non autorizzati e mantenere l'integrità dell'account.

Ambito di applicazione e pubblico

Destinatari: Clienti INTROSERV nuovi ed esistenti responsabili della gestione degli account, della fatturazione e dell'amministrazione dei servizi.

Questo manuale tratta le funzioni di sicurezza dell'area clienti INTROSERV e le pratiche per la protezione degli account personali. Non tratta la sicurezza a livello di server, l'hardening delle applicazioni o la sicurezza dell'infrastruttura al di là dei controlli di accesso agli account.

1. Panoramica

L'Area Clienti di INTROSERV include diversi strumenti di sicurezza per prevenire gli accessi non autorizzati: password forti, autenticazione a due fattori (2FA), restrizioni di accesso agli IP, informazioni di contatto verificate e registrazione delle attività con revisione della cronologia.

Nessuna singola misura di sicurezza fornisce una protezione completa. INTROSERV consiglia di utilizzare più strumenti di sicurezza insieme per proteggere il vostro account. Le misure di sicurezza sono cumulative; ogni controllo aggiunto riduce significativamente il rischio.

Livelli di sicurezza

Il sistema di sicurezza dell'account opera attraverso cinque livelli complementari:

• Password forte - Prima barriera contro gli attacchi brute force e credential stuffing.
• Autenticazione a due fattori (2FA) - Seconda barriera contro il furto di password e il login non autorizzato.
• Restrizioni di accesso IP - Controllo del perimetro che limita l'accesso solo alle postazioni fidate.
• Verifica dei contatti - Livello di recupero e verifica dell'identità per il ripristino dell'account, compresa la parola chiave opzionale per la conferma dell'identità durante le operazioni sensibili.
• Registrazione delle attività - Livello di rilevamento che registra le operazioni dell'account e consente di esaminare la cronologia degli accessi per individuare eventuali segni di compromissione.

2. Sicurezza delle password

2.1 Requisiti della password

Una password forte è il fondamento della protezione dell'account.

Posizione: Impostazioni > Sicurezza > Modifica password

Le password forti devono includere:

• Almeno 12 caratteri (16+ consigliati per gli account critici)
• Lettere maiuscole e minuscole
• Numeri e caratteri speciali (!@#$%^&*)
• Una password unica per ogni servizio (non riutilizzare le password).

Esempi di password forti:

• Zk9$Pm2#Vx7nQ!wL
• Blue$Sky-River-92!

Esempi di password deboli (da non utilizzare):

• INTROSERV123
• qwerty2024
• mypassword
• 123456789

2.2 Gestione delle password

Utilizzate un gestore di password per memorizzare e generare in modo sicuro password forti. I gestori di password criptano le password a livello locale e richiedono una sola password principale per accedervi.

2.3 Modifica della password

Importante: cambiare immediatamente la password se si sospetta un accesso non autorizzato o se è stata compromessa.

3. Autenticazione a due fattori (2FA)

3.1 Come funziona la 2FA

L'autenticazione a due fattori rafforza la protezione dell'account richiedendo sia la password che un codice univoco generato da un'applicazione di autenticazione.

Posizione: Impostazioni > Sicurezza > Autenticazione a due fattori

3.2 Abilitazione della 2FA

Per abilitare la 2FA, procedere come segue:

1. Aprire la sezione Autenticazione a due fattori in Impostazioni > Sicurezza.
2. Scansionare il codice QR visualizzato con un'applicazione di autenticazione:
• Google Authenticator
• Autenticatore
• Autenticatore Microsoft
• Qualsiasi applicazione TOTP compatibile
3. Immettere il codice a 6 cifre generato dall'applicazione
4. Salvare le modifiche

3.3 Quando è richiesta la verifica 2FA

La verifica 2FA è necessaria per l'accesso all'account. Una volta autenticati, è possibile accedere a tutte le funzioni dell'account all'interno della sessione attiva.

3.4 Codici di recupero

Quando si attiva il 2FA, il sistema genera dei codici di recupero. Conservare questi codici in modo sicuro nel caso in cui si perda l'accesso al dispositivo autenticatore. I codici di recupero consentono di riottenere l'accesso all'account se l'autenticatore non è disponibile.

Importante: conservare i codici di recupero in un luogo sicuro e separato dal dispositivo autenticatore. I codici di recupero garantiscono l'accesso completo all'account. Trattarli con lo stesso livello di sicurezza della password principale.

4. Parola di codice

La parola chiave è una funzione di sicurezza opzionale utilizzata per verificare l'identità dell'utente durante le operazioni sensibili dell'account e le interazioni di assistenza.

Scopo: la parola chiave protegge dall'accesso non autorizzato anche se qualcuno ha ottenuto le credenziali dell'utente. Serve come ultima fase di verifica dell'identità quando si contatta l'assistenza.

Posizione: Impostazioni > Sicurezza

Quando si usa: L'assistenza INTROSERV chiederà la parola chiave solo quando si contatta l'assistenza per ripristinare l'accesso al proprio account (password dimenticata, dispositivo 2FA smarrito, ecc.). In questo modo si conferma di essere il proprietario dell'account.

L'assistenza può richiedere la parola chiave quando:

• Richiesta di reimpostazione della password
• Segnalazione di un accesso non autorizzato all'account
• Modifica dei dati di fatturazione o di pagamento
• Richiesta di modifiche di servizi sensibili

Importante: non condividete mai la vostra parola chiave se qualcuno vi contatta per primo affermando di essere del supporto INTROSERV. Il personale di assistenza legittimo la richiederà solo quando si avvia una richiesta di recupero.

5. Restrizioni di accesso IP

5.1 Scopo

La funzione "Restrizione per IP" limita l'accesso all'account solo agli indirizzi IP affidabili. Una volta configurata, è possibile accedere al proprio account solo dagli indirizzi IP elencati.

Posizione: Impostazioni > Sicurezza > Limitazione per IP

5.2 Configurazione

1. Spostarsi su Impostazioni > Sicurezza > Restrizione per IP
2. Aggiungere uno o più indirizzi IP affidabili
3. L'accesso sarà consentito solo dagli indirizzi elencati
4. Tutti gli altri tentativi di accesso saranno bloccati

5.3 Quando utilizzare le restrizioni IP

Le restrizioni IP sono consigliate se:

• Si accede al proprio account da un indirizzo IP statico (immutabile) dell'ufficio o di casa
• Si desidera la massima sicurezza per il proprio account
• L'organizzazione dispone di una rete aziendale con un IP fisso.

Nota: non attivare le restrizioni IP se il proprio indirizzo IP cambia frequentemente (ad esempio, se si utilizzano reti mobili). Contattare l'assistenza INTROSERV se si è bloccati a causa delle restrizioni IP.

6. Verifica delle informazioni di contatto

6.1 Verifica dell'e-mail

Per il recupero della password, le notifiche di sicurezza e la verifica dell'account è necessario disporre di informazioni e-mail accurate.

Posizione: Impostazioni > Impostazioni generali

L'e-mail deve avere lo stato "Confermato" per:

• Richieste di reimpostazione della password
• Ricevere le notifiche di sicurezza
• Procedure di recupero dell'account

Per verificare l'e-mail:

1. Andare su Impostazioni > Impostazioni generali
2. Fare clic sul link di verifica accanto all'indirizzo e-mail
3. Completare il processo di verifica

6.2 Verifica del numero di telefono

La verifica del numero di telefono è necessaria per verificare l'identità durante le interazioni di assistenza e le operazioni sensibili sull'account.

Posizione: Impostazioni > Impostazioni generali

Per verificare il numero di telefono:

1. Accedere a Impostazioni > Impostazioni generali
2. Fare clic sul pulsante "Conferma tramite chiamata" accanto al numero di telefono.
3. Seguire le istruzioni di verifica
4. Il numero verrà contrassegnato come confermato

6.3 Aggiornamento delle informazioni di contatto

Importante: aggiornare immediatamente le informazioni di contatto se cambiano. Le informazioni di contatto non aggiornate possono impedire il recupero della password e l'accesso all'account.

7. Protezione dal phishing

7.1 Che cos'è il phishing?

Il phishing consiste in tentativi fraudolenti di impersonare INTROSERV o altri servizi affidabili per rubare le vostre credenziali, le informazioni di pagamento o i codici 2FA.

7.2 Identificazione delle e-mail di phishing

Le e-mail di phishing presentano in genere queste caratteristiche:

Bandiere rosse - Probabile phishing:

• Il mittente non proviene dal dominio @INTROSERV.COM
• Richiesta di password, codici 2FA o dati della carta di credito
• Urgenza artificiale ("Il vostro account sarà sospeso entro 24 ore!")
• I link non puntano al dominio ufficiale INTROSERV.COM
• Errori di ortografia, errori grammaticali o formattazione insolita
• Allegati o richieste di download inaspettati
• saluti generici ("Gentile cliente" invece del vostro nome)

Bandiere verdi - Email INTROSERV autentiche:

• L'indirizzo del mittente è @INTROSERV.COM
• Saluto personale con il proprio nome registrato
• Nessuna richiesta di password o codici di autenticazione
• Link solo a https://INTROSERV.COM
• Formattazione e ortografia professionali

7.3 Cosa non verrà mai richiesto da INTROSERV

INTROSERV non richiederà mai quanto segue attraverso nessun canale (e-mail, chat, telefono o supporto):

• La password dell'account
• Codici 2FA
• Disabilitazione di funzioni di sicurezza
• pagamenti tramite criptovalute, carte regalo o bonifici bancari
• Accesso desktop remoto al vostro computer
• Dettagli completi della carta di credito via e-mail o chat

Se si ricevono richieste di questo tipo, si tratta di frodi. Segnalate immediatamente le comunicazioni sospette attraverso il sistema di ticket di assistenza ufficiale.

7.4 Verifica dei link

Prima di fare clic su un link contenuto in un'e-mail, verificatene l'effettiva destinazione:

1. Passare il cursore sul link (senza fare clic).
2. Osservare l'URL effettivo nella barra di stato del browser.
3. Confrontare la destinazione con la fonte dichiarata

Link legittimo di INTROSERV:

• https://introserv.com/ (sito principale)
• https://my.introserv.com/ (area clienti)

Phishing - domini sospetti:

• https://introserv-verification.suspicious-domain.com
• http://my.introserv-secure-login.xyz
• https://intr0serv.com/login

Bandiere rosse negli URL:

• Protocollo non criptato (http invece di https)
• Estensioni di dominio diverse da .com
• Parole aggiuntive prima o dopo "INTROSERV" nel dominio
• Accorciatori di URL (bit.ly, tinyurl, ecc.)
• Errori ortografici o sostituzioni di caratteri (INTR0SERV, INTROSERY, INTROSERB).

7.5 Segnalazione del phishing

Se si riceve un'e-mail di phishing che dichiara di provenire da INTROSERV:

1. Non cliccate sui link e non scaricate gli allegati
2. Non rispondere all'e-mail
3. Segnalare l'e-mail attraverso il sistema di ticket di assistenza ufficiale
4. Se possibile, includere le intestazioni dell'e-mail

Contattare immediatamente l'assistenza INTROSERV: support@INTROSERV.COM

8. Monitoraggio delle attività

8.1 Controllo della cronologia dell'account

Il monitoraggio regolare dell'attività dell'account consente di individuare accessi non autorizzati o comportamenti sospetti.

Posizione: Impostazioni > Cronologia

La sezione della cronologia visualizza:

• Tentativi di accesso recenti (riusciti e non riusciti)
• Indirizzi IP utilizzati per l'accesso
• I tempi di accesso
• Operazioni eseguite nell'account

8.2 Cosa cercare

Esaminate regolarmente la cronologia delle attività e fate attenzione a

• Accessi da indirizzi IP o luoghi sconosciuti
• Tentativi di accesso falliti (più volte in breve tempo possono indicare un attacco)
• Modifiche inaspettate alle impostazioni dell'account
• Fornitura di servizi o modifiche inattese
• Orari di accesso insoliti (soprattutto al di fuori dei normali schemi di utilizzo).

8.3 Risposta ad attività sospette

Se si notano attività sospette:

1. Cambiare immediatamente la password (Impostazioni > Sicurezza)
2. Attivare il 2FA se non è ancora attivo
3. Esaminare tutte le attività recenti in Impostazioni > Cronologia
4. Verificare che tutti i servizi (Server dedicati, VPS/VDS, Cloud Storage) non siano stati modificati in modo non autorizzato.
5. Controllare i registri di fatturazione (sezione Fatturazione) per verificare la presenza di transazioni non autorizzate.
6. Aggiornare le informazioni di contatto se sono state compromesse
7. Contattare l'assistenza INTROSERV attraverso il sistema di ticket ufficiale con i dettagli completi dell'incidente.

9. Risposta agli incidenti di sicurezza

9.1 Se si sospetta un accesso non autorizzato

Azioni immediate:

1. Cambiare immediatamente la password (Impostazioni > Sicurezza > Modifica password).
2. Attivare o aggiornare il 2FA se non è ancora attivo.
3. Esaminare Impostazioni > Cronologia per tutte le attività recenti
4. Verificare tutti i servizi (server dedicati, VPS/VDS) per verificare che non vi siano modifiche o tentativi di accesso non autorizzati.
5. Controllare Fatturazione > Fatture per transazioni non autorizzate o disposizioni di servizio
6. Aggiornare le informazioni di contatto se compromesse
7. Contattare immediatamente l'assistenza INTROSERV

9.2 Fornire all'assistenza i dettagli dell'incidente

Quando si segnala un incidente di sicurezza, includere

• Data e ora della prima attività sospetta
• Descrizione di ciò che si è notato (modifiche non autorizzate, accessi sconosciuti, ecc.)
• Screenshot di attività sospette o registrazioni di cronologia
• Messaggi di errore o comportamenti insoliti del sistema
• Modifiche recenti apportate alle impostazioni dell'account
• Se le credenziali o i dispositivi sono stati condivisi con altri

Il team di assistenza indagherà sull'incidente e consiglierà misure correttive specifiche in base alla situazione.

9.3 Tempi di ripristino

La risoluzione degli incidenti di sicurezza dipende dalla gravità e dalla portata dell'incidente. Il supporto INTROSERV darà priorità alle segnalazioni di sicurezza e fornirà una valutazione iniziale entro i tempi di risposta standard.

10. Raccomandazioni di sicurezza aggiuntive

10.1 Protezione degli account

• Non salvare le password su dispositivi condivisi o computer pubblici.
• Utilizzare un password manager per memorizzare le password in modo sicuro.
• Monitorare gli indirizzi IP di accesso recenti in Impostazioni > Cronologia
• Esaminare regolarmente la sezione Cronologia (almeno mensilmente).
• Utilizzare le restrizioni IP se si dispone di un indirizzo IP statico di casa o dell'ufficio.
• Effettuare sempre il logout da computer pubblici o condivisi
• Non condividere le credenziali dell'account con altri
• Non fornire le proprie credenziali al personale di assistenza (l'assistenza INTROSERV accede agli account attraverso sistemi di backend sicuri, mai attraverso la propria password).

10.2 Sicurezza del dispositivo

• Mantenere il sistema operativo e le applicazioni aggiornate con le patch di sicurezza.
• Utilizzare software antivirus e antimalware
• Evitare di accedere al proprio account da reti Wi-Fi pubbliche; utilizzare una VPN quando necessario.
• Attivare la crittografia del disco sui dispositivi utilizzati per accedere al proprio account.
• Attivare il blocco dello schermo (PIN, biometrico o password).
• Utilizzare la crittografia WPA3 per la rete domestica (o WPA2 se WPA3 non è disponibile).

10.3 Sicurezza delle e-mail

• Abilitare la 2FA per l'account del provider di posta elettronica
• Utilizzare un indirizzo e-mail dedicato per i servizi critici (INTROSERV, banche, criptovalute).
• Non fare clic sui link contenuti nelle e-mail sospette, ma visitare direttamente i siti web.
• Verificare gli indirizzi dei mittenti prima di rispondere alle e-mail.
• Siate cauti con gli allegati delle e-mail provenienti da mittenti sconosciuti.

11. Errori comuni da evitare

Evitate queste pratiche di sicurezza comuni che indeboliscono la protezione del vostro account:

• Utilizzare la stessa password per più servizi - Se un servizio viene compromesso, tutti i vostri account diventano vulnerabili. Utilizzate password uniche e forti per ogni servizio.
• Memorizzazione delle password nel browser senza master password - I gestori di password del browser senza crittografia offrono una protezione minima. Utilizzate un gestore di password dedicato con crittografia.
• Utilizzo di un unico indirizzo e-mail usa e getta o condiviso - Il recupero dell'account dipende dall'accesso all'e-mail. Utilizzate un indirizzo e-mail dedicato e sicuro per INTROSERV, che controllate da soli.
• Disattivare il 2FA temporaneamente o "solo per ora" - Il 2FA disattivato lascia il vostro account esposto. Riattivatela subito dopo la situazione che l'ha resa necessaria.
• Accesso al vostro account da Wi-Fi pubblico senza VPN - Le reti pubbliche sono monitorate dagli aggressori. Utilizzate sempre una VPN quando accedete al vostro account da una rete Wi-Fi pubblica.
• Aggiunta di indirizzi IP dinamici o mobili alle restrizioni IP - Le restrizioni IP funzionano solo con indirizzi statici (immutabili). Gli IP mobili o che cambiano bloccano l'account.

12. Caratteristiche di sicurezza e mitigazione dei rischi

La tabella seguente mostra quali funzioni di sicurezza proteggono da minacce specifiche:

Funzionalità di sicurezza	Protegge da
Password forte	Attacchi di forza bruta, riempimento di credenziali
Autenticazione a due fattori (2FA)	Furto di password, login non autorizzato senza secondo fattore
Restrizioni di accesso IP	Accesso remoto non autorizzato da luoghi sconosciuti
Verifica dell'e-mail	Tentativi di acquisizione dell'account, reset non autorizzato della password
Monitoraggio delle attività	Violazioni non rilevate, operazioni non autorizzate sugli account
Parola di codice	Impersonificazione dell'identità, accesso non autorizzato all'assistenza