Ecco un'analisi dell'umile password e alcuni modi per migliorarne la sicurezza.
Amate o odiate, le password svolgono un ruolo importante nella nostra vita lavorativa quotidiana. La password è diventata il modo migliore per accedere a un'applicazione aziendale e la maggior parte degli account online è basata su password; anche con l'MFA(autenticazione a più fattori) e l'autenticazione biometrica, la password persiste come primo fattore.
Il motivo della popolarità della password è che è semplice da usare per le persone e da implementare per gli sviluppatori. Purtroppo, però, la password ha molti talloni d'Achille e i criminali informatici sfruttano appieno la sua vulnerabilità.
Che cos'è la sicurezza delle password?
La sicurezza delle password è una parte fondamentale della sicurezza sul posto di lavoro. Ma le password vengono regolarmente sfruttate, utilizzate in modo improprio e abusato. Alcune statistiche sconcertanti mostrano quanto sia peggiorata la situazione della sicurezza delle password negli ultimi anni:
Quante password vengono rubate?
- I criminali informatici hanno sfruttato 1,7 miliardi di credenziali di accesso (comprese le password) nel 2021.(Indagine Spycloud)
Quanto sono insicure le password?
- La password non criptata più utilizzata è "password"(indagine Spycloud).
- Il 45% degli utenti non cambia le password dopo una violazione.(Studio LastPass)
Come vengono abusate le password?
- Il 60% degli utenti riutilizza le password.(Indagine Spycloud)
- L'84% utilizza la stessa password per più account.(Sondaggio Bitwarden)
L'importanza della sicurezza delle password
Le password sono vulnerabili agli attacchi di phishing: un'indagine di Hypr 2022 ha rilevato che l'89% delle aziende ha subito un attacco di phishing nel 2021. Una ricerca sull'efficacia del phishing ha rilevato che il 32% dei dipendenti clicca su un link di phishing. L'errore umano, che comprende la condivisione di password e l'utilizzo di password deboli, è alla base del 95% degli attacchi informatici, secondo l'indagine "IBM Threat Intelligence".
Il miglioramento della sicurezza delle password è un modo fondamentale con cui un'organizzazione può migliorare la propria posizione di sicurezza. Concentratevi quindi su pratiche di password sicure per migliorare rapidamente il livello di rischio della vostra organizzazione.
Ecco dieci best practice per migliorare la sicurezza delle password e ridurre la probabilità di un attacco informatico.
Dieci suggerimenti per mantenere le password forti e sicure
Non condivideteli!
I dipendenti condividono le password. Un'indagine condotta da Yubico e Ponemon ha rilevato che il 49% dei responsabili della sicurezza informatica e il 51% dei dipendenti condividono le password con i colleghi per accedere agli account aziendali.
Condividere le password significa che queste sono fuori dal controllo della vostra organizzazione. Il controllo è fondamentale per mantenere la sicurezza. Assicuratevi che le vostre politiche e pratiche di sicurezza rispecchino il divieto di condivisione delle password da parte dei dipendenti. È importante educare tutti i dipendenti all'importanza di non condividere le password.
Non utilizzate la stessa password per diversi account.
I dipendenti possono avere molte password da ricordare; come già detto, il 60% dei dipendenti ammette di riutilizzare le password per più account. Scoraggiate i dipendenti dall'utilizzare la stessa password fornendo loro dei meccanismi per evitarlo. Questi meccanismi possono includere il Single Sign On (SSO) per gli account correlati e un gestore di password.
Utilizzare un gestore di password
Nel nostro post "Perché avete bisogno di un gestore di password", MetaCompliance afferma che una persona media deve ricordare tra le 70 e le 80 password. Anche chi ha una memoria incredibile farebbe fatica a ricordare così tante password.
Per eliminare questo onere dai dipendenti, l'azienda può fornire al personale un gestore di password. Un gestore di password è un archivio digitale che memorizza, protegge e presenta la password al momento dell'accesso, in modo che l'utente non debba ricordarla.
Non scrivete le password sulla scrivania!
Una cattiva abitudine è quella di scrivere le password su un pezzo di carta: sono potenzialmente a rischio, soprattutto in un ambiente di lavoro, perché qualsiasi persona di passaggio potrebbe copiare la password e usarla per accedere agli account di quel dipendente. Inoltre, un dipendente che utilizza la stessa password per molti account potrebbe essere esposto a più account.
Non fornite mai le password se vi vengono chieste
Assicuratevi che i dipendenti comprendano il funzionamento del social engineering. Utilizzate la formazione sulla sicurezza per sottolineare come i truffatori li inducano a fornire informazioni personali, comprese le password.
Rendete le password difficili da indovinare
La password più diffusa è 123456. Questo rende facile il lavoro di un criminale informatico. La sicurezza delle password si ottiene imponendo l'uso di password difficili da indovinare. Inoltre, create una politica delle password che incoraggi l'uso di password più complesse. L'ente di standardizzazione statunitense, il NIST, fornisce un aggiornamento regolare sulle politiche di password più solide.
Cambiate le password in caso di dubbio
Le politiche di sicurezza dovrebbero garantire che i dipendenti cambino le password se ritengono di essere stati vittime di phishing. Tuttavia, l'obbligo di aggiornare le password ogni X settimane o mesi può spesso tradursi in una scarsa igiene delle password. Se le persone sono costrette a cambiare le password, tendono a usare password aggiornate meno robuste, magari aggiungendo un numero alla fine: "password" diventa "password12".
Rendere più difficili le domande per il recupero della password
Il recupero delle password è spesso un obiettivo dei criminali informatici; i metodi utilizzati per recuperare le password richiedono agli utenti di inserire dettagli come il nome da nubile della madre. Il problema è che questo tipo di informazioni può essere facilmente reperito dai truffatori che si aggirano tra i forum di Internet e le piattaforme di social media.
Assicuratevi che il vostro sistema di recupero delle password sia robusto e abbia meccanismi di sicurezza associati per prevenire lo sfruttamento. Date un'occhiata ai suggerimenti di OWASP per un robusto sistema di recupero delle password.
Non perdete le password a causa di connessioni non sicure
Una password potrebbe essere rubata se una persona utilizza una connessione Internet non sicura per accedere a un account. Questo metodo comune viene utilizzato per rubare i dati, comprese le password, quando si utilizzano connessioni Internet pubbliche. Se i vostri dipendenti lavorano in remoto e possono utilizzare internet pubblico, assicuratevi che i dipendenti si connettano solo utilizzando un sito sicuro, ad esempio HTTPS o una VPN.
Educare gli utenti sui pericoli degli attacchi di dizionario
Incoraggiare gli utenti a non usare parole comuni quando creano una password. Purtroppo, le persone tendono a utilizzare parole note per le password: questo fatto viene sfruttato negli "attacchi a dizionario" che utilizzano programmi maligni per cercare di entrare in un account utilizzando password e parole comuni.
Istruire gli utenti con corsi di sensibilizzazione sulla sicurezza su tattiche come questa, e altre ancora, che vengono utilizzate per violare le password.
