Gestione delle password e riduzione del rischio di password
Pubblicato su: 5 Lug 2022
Ultima modifica il: 24 Lug 2025
Le password sono state un pilastro della sicurezza fin dall’evoluzione del linguaggio umano. Questo segreto condiviso può essere utilizzato per aprire porte fisiche e digitali. Ma come ogni segreto, se viene rivelato alla persona sbagliata, può essere usato per azioni nefaste.
Le password offrono ai criminali informatici un modo per superare il gatekeeper. Il cancello è aperto se la password è insicura, condivisa o falsificata. La gestione delle password aiuta a ridurre il rischio in un’organizzazione.
Ecco una panoramica di alcuni rischi legati all’uso delle password e dei consigli per la loro gestione.
Il problema delle password
Le password sono persistenti perché gli utenti le capiscono; sono comprese dagli sviluppatori di web e app e offrono una sicurezza di base. Le password persisteranno per questi motivi, anche con iniziative come il sistema senza password FIDO.
Una password sicura è la credenziale di accesso più importante, ma le password sono tutt’altro che una misura di sicurezza solida. A causa delle porte che una password può aprire, questa credenziale è diventata oggetto di attacchi informatici. Il Data Breach Investigations Report (DBIR) del 2022 ha identificato il furto di credenziali come uno dei quattro principali metodi utilizzati per violare i dati.
Il 2022 Annual Identity Exposure Report ha identificato alcune statistiche sconcertanti sulle password:
● 1,7 miliardi di credenziali (combinazioni di indirizzo email e password o nome utente e password) sono state sfruttate dagli hacker nel 2021
● Il 70% degli utenti utilizzava ancora le password compromesse a distanza di un anno
La prima password riutilizzata in chiaro (cioè non criptata) è stata “password”.
Il 60% degli utenti riutilizza le password. Un sondaggio di Google ha rilevato che il 52% riutilizza le password su più account.
● Solo il 20% degli utenti ha un gestore di password
I costi dell’esposizione delle password, dei furti e degli accessi non autorizzati si accumulano. Il rapporto del Ponemon Institute Cost of Insider Threats del 2022 ha scoperto che:
Il costo del furto di credenziali è aumentato del 65%, passando da 2,79 milioni di dollari nel 2020 a 4,6 milioni di dollari nel 2021/2022.
Per contenere una minaccia insider ci vogliono circa 85 giorni.
Gli incidenti che hanno richiesto più di 90 giorni per essere arginati sono costati, in media, 17,19 milioni di dollari.
Come le password finiscono nelle mani dei criminali informatici
Alcuni dei modi più comuni in cui le password vengono rubate o compromesse sono:
Infezione da malware
I malware progettati per rubare i dati inviano qualsiasi combinazione di password/nome utente/email inserita dall’utente ai criminali informatici che controllano il malware.
Un rapporto di SpyCloud ha rilevato che nel 2021 il malware “RedLine Stealer” è stato ampiamente utilizzato per rubare credenziali e altri dati agli utenti Windows. Il malware era disponibile per l’acquisto su un sito web oscuro per 800 dollari o per un abbonamento a un servizio di malware-as-a-service per 200 dollari al mese.
Violazione dei dati
Le violazioni dei dati offrono ai criminali informatici un modo per accedere alle password e ai nomi utente o alle coppie di email rubate, ovvero alle credenziali di accesso. Ad esempio, la violazione dei dati Collection 1-5 del 2019 ha esposto 2,2 miliardi di password e indirizzi e-mail.
Le violazioni dei dati si verificano in genere attraverso l’accesso non autorizzato a un database, un’errata configurazione della sicurezza che rende il database vulnerabile, l’esposizione accidentale a causa di un’errata consegna di un’e-mail o l’hacking deliberato. In un ciclo di criminalità informatica, un database compromesso rilascia altre credenziali di accesso per effettuare ulteriori attacchi.
Phishing
Un modo molto diffuso per rubare le password è il phishing. Infatti, il DBIR del 2022 ha indicato il phishing come uno dei quattro principali metodi di violazione dei dati per ottenere l’accesso ai dati di login. Lo spear-phishing è un problema particolare per gli amministratori di sistema e gli utenti privilegiati che vengono presi di mira per le loro credenziali di accesso privilegiato.
I fornitori di terze parti sono bersaglio degli hacker negli attacchi legati alle password. Ad esempio, nel caso dell’attacco ransomware Colonial Pipeline del 2021, una singola password rubata da un ex dipendente è stata collegata all’attacco che ha causato la chiusura temporanea di metà delle forniture di carburante degli Stati Uniti.
Esposizione accidentale e minacce interne
Ai dipendenti piace condividere le password con i colleghi e riutilizzarle. Una recente indagine ha rilevato che quasi il 42% dei dipendenti condivide le password con i colleghi. Lo stesso studio ha rilevato che 1 dipendente su 4 aveva ancora accesso ai vecchi account anche dopo aver lasciato l’azienda.
L’esposizione accidentale delle password o l’accesso non autorizzato è un fattore significativo degli attacchi informatici e delle violazioni dei dati; il DBIR 2022 ha rilevato che l’82% degli attacchi coinvolge un essere umano.
Cinque suggerimenti rapidi per la gestione delle password
Ecco cinque consigli per gestire le password e ridurre i rischi:
Imposta e applica i criteri per le password
Le politiche sulle password sono il primo passo per eliminare i rischi legati all’uso delle password. Le politiche sulle password includono tutto ciò che è associato alla gestione delle password e alla loro sicurezza. Ad esempio, una policy dovrebbe includere la conservazione sicura delle password e la frequenza con cui una password deve essere cambiata.
Le politiche sulle password devono anche indicare chiaramente come i dipendenti devono creare e gestire le password. Le policy devono essere distribuite ai dipendenti e la loro gestione deve essere automatizzata durante tutto il ciclo di vita della policy per garantire che sia accettata e compresa da tutta l’azienda.
Usa un gestore di password
I gestori di password come Lastpass e i generatori di password riducono l’affaticamento da password e, quindi, possono aiutare a eliminare il riutilizzo e la condivisione delle password. Se utilizzi un gestore di password, tecnicamente devi ricordare solo una serie di credenziali: la password principale per accedere al tuo gestore di password.
Una volta che hai effettuato l’accesso al password manager utilizzando la tua password principale, il password manager fa il resto: memorizza, genera, sincronizza e aggiorna le password. La tua password principale viene utilizzata per criptare le password memorizzate nel tuo password vault.
Ma i gestori di password sono ancora poco utilizzati nelle aziende. Esistono molti gestori di password, ma i servizi basati sul cloud possono essere più facili da implementare e amministrare. Cerca un gestore di password che sia in grado di funzionare anche su altri sistemi operativi e che protegga altri tipi di dati, comprese le password.
Usa un secondo fattore (2FA/MFA)
L’utilizzo di un secondo fattore, come un codice di autenticazione mobile, è un modo utile per aggiungere un ulteriore livello di sicurezza all’accesso di un’applicazione. Tuttavia, non devi affidarti al 2FA per ottenere un controllo dell’accesso privo di rischi al 100%.
I criminali informatici stanno già studiando dei modi per aggirare l’autenticazione a secondo fattore. Se puoi, implementa la 2FA, ma sostieni questa misura con i due consigli che seguono per ridurre il rischio delle password:
Istruisci i dipendenti sull’igiene delle password
Le politiche sulle password devono riflettere gli standard del settore della sicurezza informatica per la creazione, l’utilizzo e la gestione delle password. Tuttavia, per far rispettare questa politica è necessario che i dipendenti comprendano perché le password sicure sono essenziali.
I programmi di formazione sulla sicurezza informatica includono solitamente moduli sulla creazione di password forti e sulla protezione delle password.
Usa le simulazioni di phishing per ridurre il furto di password
Il phishing è uno dei metodi principali per rubare password e altre credenziali. Formando i dipendenti su come funziona il phishing e su quali sono i segni rivelatori di un messaggio di phishing, un’azienda può aiutare a prevenire il furto di credenziali tramite phishing.
Le piattaforme di simulazione di phishing offrono un modo centralizzato e configurabile per inviare messaggi di phishing simulati al personale. Una piattaforma di simulazione di phishing avanzata ti permetterà anche di personalizzare i messaggi di phishing simulati in modo da riflettere i diversi ruoli della tua azienda.
È probabile che le organizzazioni continueranno a utilizzare le password ancora per un po’, aumentando il rischio di un attacco informatico. Tuttavia, applicando i cinque consigli qui descritti, puoi ridurre il rischio di utilizzo delle password da parte dei tuoi dipendenti. Questi consigli aiutano a prevenire le violazioni dei dati e le infezioni da ransomware e aiutano la tua azienda a rispettare le normative sulla protezione dei dati.
