Al giorno d’oggi le password hanno assunto un’importanza rilevante nelle aziende per proteggere i dati ed anche la nostra identità.
Chi ha partecipato di recente ai miei webinar (organizzati da Ready Informatica, azienda per la quale lavoro) avrà sentito parlare tanto di sicurezza informatica e come proteggersi dagli attacchi dei cybercriminali. Oltre alla email, alla navigazione web degli utenti e all’inserimento di chiavette usb, uno dei principali vettori di attacco avviene all’interno della rete aziendale attraverso un errore involontario o un errore voluto da parte di un utente.
L’errore involontario da parte di un utente (il collega che erroneamente ha lanciato un applicazione o aperto un file o acceduto ad un software), è facilmente scovabile attraverso una collaborazione tra l’IT Manager e l’utente stesso, il quale nella maggior parte dei casi, è inesperto.
Impossibile invece risalire al “colpevole” nel caso di errore volontario. Questo avviene quando il cybercriminale riesce ad impossessarsi delle credenziali di un utente admin per sferrare l’attacco.
Ma non necessariamente dobbiamo parlare di cryptolocker. Supponiamo che ci sia un dipendente, Anna Bianchi, in via di licenziamento e che trova la password di Mario Rossi. Ruba il database dei clienti per venderlo alla concorrenza. L’IT manager, colui che deve mantenere in sicurezza i sistemi e garantire la disponibilità degli strumenti informatici necessari per lavorare in modo produttivo, può mai pensare che “Mario era comodo a tenere la password su un post-it”? Siamo di fronte ad un vero e proprio Data Breach.
Dunque, la corretta gestione delle password aziendali dovrebbe essere una priorità in qualsiasi azienda, poiché con tali credenziali si può accedere al cuore dell’azienda.
Quando ci si allarma, o addirittura si scopre, che una password è stata rubata?
- Ci sono movimenti sospetti di file e cartelle o comunque dati
- Invio di email di cui non si ha traccia
- Programmi installati o processi in esecuzione di cui non si ha memoria
CONSIGLI PER CREARE PASSWORD SICURE
Uno degli errori più comuni in azienda è di utilizzare sempre la stessa password o lo stesso criterio per la creazione di tutte le password. Si tratta di un errore perché basta capirne una per capire il criterio alla base e poter rilevare tutte le altre.
Scegliere una password complessa, diversa e slegata da ogni tipo di accesso, è una delle misure di sicurezza minime per proteggere accessi a portali e strumenti aziendali. Cosa Considerare:
| Lunghezza della password | Più è lunga una password, più lungo e difficile sarà decifrarla. Si consiglia una password di lunghezza superiore ai 13 caratteri per rendere lungo il processo di attacco di forza bruta. |
| Combinazione di caratteri | Più tipi di caratteri sono presenti in una password, più aumenta il livello di entropia e più complesso sarà decifrarla. Si consiglia di utilizzare anche numeri e caratteri speciali oltre alle lettere maiuscole e minuscole. |
| Password diverse da ogni account | Permetterebbe al cybercriminale di non accedere facilmente a più profili nel caso venisse in possesso di una password. Si riduce così il “danno”. |
| Cambiare la password frequentemente | Difficile ricordarsi 10 password diverse per dieci portali ed in più, una volta che me le sono ricordate, è già tempo di cambiarle. Cambiare password è un bene per evitare che qualcuno possa avermi “studiato” e riuscire a carpire la password di accesso. Cambiando spesso la password disoriento il cybercriminale. |
| Salvataggio password in cloud | Molti salvano le password in locale, ma esse possono essere perse facilmente. E’ bene che le password più importanti andrebbero salvate anche in cloud, così che siano sempre disponibili e facilmente recuperabili. |
| Passphrase | Si tratta di una sequenza casuale di parole comuni modificate con numeri e caratteri speciali che risulta molto più facile da ricordare delle “password convenzionali” e al tempo stesso molto più difficile da violare per i cybercriminali. |
| Autenticazione a due fattori | Se non ci si fida delle password scelte, uno dei consigli è quello di adottare un secondo fattore di autenticazione , dove oltre ad inserire username e password viene chiesto un secondo codice generato in maniera casuale da un app sul proprio smartphone o inviato via sms per potersi loggare al proprio sistema. |
LE TUE PASSWORD SONO STATE COMPROMESSE?
Il 2019 è stato il peggior anno come furto di credenziali: si tratta di 560 milioni di password rubate. Se ti stai chiedendo se in questo database sono presenti anche le tue credenziali, Troy Hunt, ricercatore di sicurezza del Kromtech Security Research Center, invita gli utenti di tutto il mondo a verificare sul suo sito haveibeenpwned.com se le proprie credenziali sono state violate negli anni passati. E non solo in quel famoso furto del 2019. Troy Hunt ha aggregato in un enorme database tutte le credenziali rubate nei data breach di cui si ha notizia. Ad oggi si contano 10 miliardi di credenziali rubate.
“Have I been pwned?” è gratuito e senza necessità di registrazione da parte dell’utente. E’ sufficiente inserire nel box email address il proprio username e cliccare su pwned?. Se la username è presente nel suo database la pagina diventerà rossa e comparirà un messaggio Oh no – pwned!. Più in basso sarà presente la lista dei Data Breach dove è presente la username. Questo significa che quelle credenziali sono esposte nel web: quella password che in qualche momento della nostra vita abbiamo realmente usato, ora potrebbe essere a conoscenza di qualcuno.
GESTIONE PASSWORD
Prima o poi le password verranno messe definitivamente da parte, a favore di sistemi biometrici di vario tipo (scansione impronta, riconoscimento del volto ecc), ma fino ad allora, pur sapendo quanto è difficile ricordarsele tutte seguendo i consigli sopra citati, occorre un sistema di gestione password. Un sistema di Password Management si occupa di tutti gli aspetti che in un’azienda ci devono essere: gestione, conservazione e condivisione.
Il Passportal & Documentation Manager di N-Able è lo strumento ideale per gestire password e la documentazione in maniera sicura, poiché:
- Facilita la creazione di password complesse
- Archivia in modo sicuro le credenziali
- Immette password automaticamente senza visualizzarle a schermo
- Concede o revoca l’accesso
- Acquisisce automaticamente nuove credenziali
- Invia alert di password in scadenza
- Fa rispettare i requisiti di conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali
- Segnala l’età e “forza” delle password
- Condivide password con altri utenti
- Occorre ricordarsi una sola password (più la chiave dell’organizzazione) per accedere a tutte le password e documentazione in maniera sicura
N-Able, dunque, può aiutare un MSP a gestire i rischi, ridurre gli incidenti e rispettare i requisiti di conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali.