Il secondo rapporto Clusit 2023, pubblicato lo scorso marzo, ha evidenziato un dato rilevante: il 65% degli incidenti informatici hanno buon esito a causa di una non corretta gestione delle credenziali di accesso agli account in uso agli utenti.
Inoltre, grazie alle tecniche e agli strumenti sempre più sofisticati utilizzati dagli hacker è possibile scoprire un gran quantitativo di password in pochi minuti.
Esistono, infatti, specifici programmi di password cracking che permettono di combinare molteplici variazioni delle credenziali di accesso anche grazie alle c.d. Breach Password Repository, depositi pubblici contenenti elenchi di password violate a disposizione di tutti, hacker compresi.
Come garantire, quindi, un’adeguata sicurezza informatica?
Le 12 regole d’oro per una corretta gestione delle password
Al fine di perseguire la confidenzialità, l’integrità e la disponibilità delle informazioni aziendali e dei dati dei propri utenti, attraverso le cybersecurity policy, l’azienda deve enunciare le principali misure di sicurezza tecniche per una corretta gestione delle credenziali di autenticazione.
Tra i principali suggerimenti applicabili a un’ottimale gestione delle password rientrano:
1.Adeguata lunghezza, con un numero di caratteri compreso tra gli 8 e 15
2.Utilizzo di 4 tipologie diverse di caratteri (lettere maiuscole e minuscole, numeri e caratteri speciali)
3.Assenza di riferimenti a informazioni personali facili da indovinare
4.Preferire parole poco comuni
5.Periodico aggiornamento, soprattutto delle password utilizzate per i servizi più importanti (ad es.: e-mail, e-banking)
6.Utilizzo di password diverse per account diversi
7.Evitare di utilizzare password di cui si è già usufruito
8.Modificare immediatamente le password temporanee rilasciate al primo accesso dai servizi in uso
9.Impostare meccanismi di autenticazione a fattori multipli (MFA)
10.Evitare di condividere le password e, laddove necessario, ricordare di cambiarle subito dopo
11.Non impostare il salvataggio automatico delle credenziali di accesso
12.Ricorrere a programmi c.d. “gestori di password”, che generano automaticamente password sicure.
Le alternative alle password: prospettive e criticità
L’enorme quantitativo di password che ogni utente è tenuto a ricordare (tanto personali, quanto aziendali) prospetta la necessità di individuare ed adottare tecniche semplici ma altrettanto adeguate a garantire la sicurezza delle informazioni.
Per garantire la piena operatività aziendale è fondamentale, altresì, considerare anche i potenziali rischi.
Tra gli strumenti più diffusi rientrano:
1. La biometria con cui, attraverso la registrazione di un template (ossia di un campione della caratteristica associata all’identità da autenticare, come l’impronta digitale, la forma del viso o l’iride), è possibile accedere al servizio in uso utilizzando un altro campione della caratteristica biometrica registrata dall’utente.
Per quanto si tratti di un sistema rapido, tuttavia non è esente da alcune criticità:
- I campioni acquisiti non sono mai perfettamente identici, quindi è possibile che l’utente non venga riconosciuto (falso negativo – FNMR) oppure che venga dichiarata simile un’acquisizione biometrica appartenente ad un soggetto diverso (falso positivo – FMR);
- Qualora il fornitore del servizio, che ha archiviato all’interno dei propri backup i template biometrici dei propri utenti, sia vittima di un data breach, si configurerebbero gravi conseguenze per i soggetti interessati; pertanto, sarà fondamentale verificare l’accountability del potenziale fornitore prima di stipulare un contratto di fornitura (come enunciato nell’articolo Supply Management).
2. La crittografia con cui, grazie all’utilizzo di chiavi private e chiavi pubbliche, è possibile garantire un elevato grado di riservatezza della credenziale di accesso. Tuttavia, la chiave privata (poiché composta da un numero elevato di caratteri) è di difficile memorizzazione, quindi si prospetta necessario l’utilizzo di smart card i quali implicano costi elevati per l’azienda (infatti, vengono principalmente utilizzati per servizi che richiedono un elevato livello di sicurezza).
3 consigli operativi aziendali
A conclusione di quest’articolo e prima dello svolgimento del tool di autovalutazione, vogliamo condividere con i nostri lettori 3 consigli operativi per una gestione consapevole degli strumenti di autenticazione, sempre in un’ottica di sviluppo della CyberSecurity Awareness.
1. Utilizzare programmi c.d. “password manager”
Se la memorizzazione di tutte le password in uso ad un utente è quasi impossibile, non sempre la gestione centralizzata delle stesse in capo all’azienda ne migliora l’efficienza e la sicurezza. Infatti, qualora un hacker dovesse individuare il c.d. single point of failure del sistema informatico, carpendo una sola credenziale avrebbe libero accesso a tutti i sistemi aziendali.
Diversamente, i programmi di password manager permettono all’utente di memorizzare in modo sicuro le proprie credenziali dovendo ricordare una sola chiave di accesso: quella del servizio in uso.
2. Consultare le Breach password Repository, verificando che la password scelta (e le sue eventuali variazioni) non sia tra quelle elencate.
3. Accertarsi che i propri account non siano stati oggetto di data breach, per esempio inserendo il proprio indirizzo mail in appositi portali online (come ad esempio Have I Been Pwned) dove verificare eventuali violazioni e seguire le indicazioni per salvaguardare i propri dati.
Lo scopo del tool
Sottoponendo questo tool, composto da 15 domande a risposta multipla, al Responsabile IT (o ad un suo delegato), sarà possibile verificare se l’azienda ha adottato le misure di sicurezza idonee per una corretta gestione delle password, tale da garantire la sicurezza informatica aziendale.
Per iniziare l’autoanalisi, clicca qui.