Molte violazioni avrebbero potuto essere facilmente evitate con l’autenticazione a due fattori (2FA). Oltre alla password, la 2FA richiede un secondo passaggio di verifica, come un codice dello smartphone o una scansione biometrica. Secondo le stime di Microsoft, l’autenticazione a più fattori (MFA) blocca oltre il 99,9% degli attacchi di compromissione dell’account, rendendola fondamentale in quanto l'”autenticazione non funzionante” rimane una delle principali vulnerabilità di OWASP.

In genere gli hacker utilizzano una delle seguenti tecniche per ottenere le credenziali degli utenti:

  1. Il phishing ad ampio raggio consiste nell’invio da parte di un malintenzionato di un’e-mail generica da un indirizzo e-mail falso che incoraggia i destinatari a collegarsi a una pagina web falsa utilizzando le loro credenziali reali. I motivi indicati nell’email di phishing possono variare da “accesso a un nuovo strumento”, “reimpostazione di una password” o, ironicamente, “conferma di un’attività sospetta dell’account”.

  2. Lo spear phishing segue lo stesso modello del phishing ad ampio raggio, ma le email sono specifiche per ogni obiettivo. Ciò significa che l’email si rivolge all’utente con il suo vero nome o con le applicazioni che utilizza regolarmente. Le email di spear phishing appaiono più credibili delle loro controparti, aumentando così la loro percentuale di successo.

  3. Attacchi di credential stuffing, in cui un malintenzionato che scopre o acquista la password di un obiettivo può accedere a tutti gli account che condividono quella password. Questo è particolarmente problematico se si considera la consapevolezza degli utenti in materia di sicurezza informatica.

  4. Il password spraying consente agli aggressori di ottenere l’accesso provando password comuni o predefinite. Gli esempi più generici sono password come “123456” e “password”.

Perché l’autenticazione a due fattori è importante?

Come si può vedere, violare una password non è una missione impossibile e non richiede agli aggressori di rovistare nella spazzatura dell’obiettivo nella speranza di trovare un foglio di carta con le credenziali scritte.

Tra questi tre tipi di attacchi – phishing, credential stuffing e password spray – è facile immaginare che su mille dipendenti, almeno uno potrebbe essere compromesso. E questo mette a rischio l’intera organizzazione.

Tuttavia, quando si aggiunge un’altra modalità di autenticazione, il rischio di compromissione si avvicina a zero. Mentre una password può essere violata, le possibilità che l’aggressore acceda da remoto al dispositivo di autenticazione o al biometrico dell’obiettivo sono quasi nulle. In questo modo è possibile prevenire il 99,9% delle compromissioni degli account.

La formazione sulla consapevolezza della sicurezza è fondamentale per il successo dell’autenticazione a due fattori

L’implementazione dell’autenticazione a due fattori nella tua organizzazione richiede due considerazioni.

Innanzitutto, la tecnologia. Per implementare l’autenticazione a due fattori, devi scegliere un metodo di autenticazione degli utenti. Il metodo più comune al giorno d’oggi è l’utilizzo di uno smartphone. Prodotti come Office 365 dispongono di funzioni MFA integrate e di gestione dei criteri che consentono di impostare facilmente le applicazioni mobili degli utenti come prova di identità.

Secondo, e forse più impegnativo, le persone. Gli utenti dovranno effettuare un ulteriore passaggio di login ogni volta che accedono a uno strumento con MFA abilitato. In questo caso la formazione di sensibilizzazione alla sicurezza è indispensabile. Senza una campagna di formazione per i dipendenti che illustri l’importanza dell’autenticazione a due fattori, alcuni utenti potrebbero sentirsi a disagio per l’ulteriore passaggio di autenticazione e potrebbero ricorrere ad applicazioni non autorizzate, come WhatsApp, per condividere file e messaggi. L’utilizzo di applicazioni non autorizzate viene definito ” shadow IT” ed è una pratica ad alto rischio in quanto aggira la sicurezza aziendale.

La consapevolezza della sicurezza informatica degli utenti è ancora più importante se consideriamo l’attacco di credential stuffing. Se oltre il 50% degli utenti utilizza la stessa password per più account, è anche molto probabile che condivida le password tra gli account personali e quelli di lavoro.

Creare un firewall umano con l’autenticazione a due fattori

Per questo motivo, consigliamo di estendere le campagne di formazione sulla sicurezza alle abitudini di sicurezza personali dei dipendenti. Abilitare la 2FA sui servizi di posta elettronica personali come Gmail è facile da configurare e comodo da usare. Questa singola azione ha un duplice vantaggio: direttamente per l’utente e indirettamente per l’organizzazione, in quanto riduce al minimo il rischio di violazione dei dati.

Oltre a promuovere l’importanza dell’autenticazione a due fattori per l’uso personale, la formazione sulla gestione degli incidenti può anche aiutare gli utenti che sono stati compromessi a seguire una procedura che può prevenire ulteriori danni, tra cui la segnalazione delle violazioni ai team IT competenti e la modifica delle password, se necessario.

Le campagne educative per promuovere una buona consapevolezza della sicurezza informatica personale sono l’unico modo per ottenere l’adesione volontaria degli utenti. Quando i dipendenti capiranno l’importanza di mantenere sicuri i servizi informatici e di comunicazione sia a casa che al lavoro, costituiranno una solida base per l’intera azienda.

Migliora la tuasicurezzainformaticacon una formazione efficace per i dipendenti

Per rafforzare la sicurezza informatica della tua organizzazione, ti consigliamo di leggere questi articoli:

In alternativa, richiedi una demo gratuita della nostra formazione avanzata sulla sicurezza informatica per i dipendenti per vedere come una formazione efficace può migliorare la tua difesa contro le minacce informatiche.

Consapevolezza della sicurezza informatica per principianti