Molte violazioni avrebbero potuto essere facilmente evitate con l'autenticazione a due fattori (2FA). Oltre alla password, la 2FA richiede un secondo passaggio di verifica, come un codice dello smartphone o una scansione biometrica. Secondo le stime di Microsoft, l'autenticazione a più fattori (MFA) blocca oltre il 99,9% degli attacchi di compromissione dell'account, rendendola fondamentale in quanto l'"autenticazione non funzionante" rimane una delle principali vulnerabilità di OWASP.
Gli hacker di solito usano una delle seguenti tecniche per ottenere le credenziali dell'utente:
- Ilphishing su larga scala comporta l'invio da parte di un attore malintenzionato di un'email generica da un indirizzo email falso che incoraggia i destinatari ad accedere a una pagina web falsa utilizzando le loro credenziali reali. Le ragioni indicate nell'e-mail di phishing possono variare da "accesso a un nuovo strumento", "reimpostazione di una password" o, ironicamente, "conferma di attività sospette dell'account".
- Lospear phishing segue lo stesso modello del phishing ad ampio raggio, ma le email sono specifiche per ogni obiettivo. Questo significa che l'email si rivolge all'utente con il suo vero nome, o con le applicazioni che usa regolarmente. Le email di spear phishing appaiono più credibili delle loro controparti, il che aumenta il loro tasso di successo.
- Attacchi di credential stuffing, in cui un malintenzionato che riesce a scoprire o ad acquistare la password di un obiettivo può accedere a tutti gli account che condividono quella password. Questo è particolarmente problematico se si considera la consapevolezza personale degli utenti in materia di sicurezza informatica.
- Lospraying di password permette agli aggressori di ottenere l'accesso provando password comuni o predefinite. Gli esempi più generici sono password come '123456' e 'password'.
Perché è importante l'autenticazione a due fattori?
Come possiamo vedere, violare una password non è una missione impossibile e non richiede agli aggressori di rovistare nella spazzatura dell'obiettivo nella speranza di trovare un foglio di carta con le loro credenziali scritte.
Tra questi tre tipi di attacchi - phishing, credential stuffing e password spraying - è facile immaginare che su mille dipendenti, almeno uno potrebbe essere compromesso. E questo mette a rischio l'intera organizzazione.
Tuttavia, quando si getta un'altra modalità di autenticazione nel mix, il rischio di compromissione si avvicina a zero. Mentre una password può essere violata, le possibilità che l'aggressore acceda anche da remoto al dispositivo di autenticazione o alla biometria dell'obiettivo sono quasi nulle. È così che il 99,9% dei compromessi degli account può essere evitato.
La formazione sulla consapevolezza della sicurezza è fondamentale per il successo dell'autenticazione a due fattori
L'implementazione dell'autenticazione a due fattori nella vostra organizzazione ha due considerazioni.
In primo luogo, la tecnologia. Per implementare l'autenticazione a due fattori, è necessario scegliere un metodo che autentichi gli utenti. Il metodo più comune al giorno d'oggi è l'utilizzo di uno smartphone. Prodotti come Office 365 hanno funzioni MFA integrate e una gestione delle politiche che possono facilmente impostare le applicazioni mobili degli utenti come prova di identità.
La seconda, e forse la più impegnativa, riguarda le persone. Gli utenti dovranno effettuare un ulteriore passaggio di login ogni volta che accedono a uno strumento con MFA abilitato. È qui che la formazione di sensibilizzazione alla sicurezza è indispensabile. Senza una campagna di formazione per i dipendenti che illustri l'importanza dell'autenticazione a due fattori, alcuni utenti potrebbero sentirsi a disagio per l'ulteriore passaggio di autenticazione e potrebbero ricorrere ad applicazioni non autorizzate, come WhatsApp, per condividere file e messaggi. Questo utilizzo di applicazioni non autorizzate viene definito " shadow IT" ed è una pratica ad alto rischio in quanto aggira tutta la sicurezza aziendale.
La consapevolezza della sicurezza informatica degli utenti è ancora più importante quando si riconsidera l'attacco "credential stuffing". Se più del 50% degli utenti usa la stessa password per più account, è anche molto probabile che condividano le password tra account personali e di lavoro.
Creare un firewall umano con l'autenticazione a due fattori
Per questo motivo, si consiglia di estendere le campagne di Security Awareness Training alle abitudini di sicurezza personali dei dipendenti. Abilitare 2FA sui servizi di posta elettronica personali come Gmail è facile da impostare e comodo da usare. Questa singola azione ha un beneficio bidirezionale, direttamente per l'utente e indirettamente per l'organizzazione, in quanto riduce al minimo il rischio di violazione dei dati.
Oltre a promuovere l'importanza dell'autenticazione a due fattori per l'uso personale, la formazione sulla gestione degli incidenti può anche aiutare gli utenti che sono stati compromessi a seguire una procedura che può prevenire ulteriori danni, tra cui la segnalazione delle violazioni ai team IT competenti e il cambio delle password, se necessario.
Le campagne di educazione per guidare una buona consapevolezza personale della sicurezza informatica sono l'unico modo per ottenere l'adesione volontaria degli utenti. Quando i dipendenti capiscono l'importanza di mantenere sicuri i loro servizi IT e di comunicazione sia al lavoro che a casa, formeranno una solida base per l'intera impresa.
Migliorare lasicurezzainformaticacon una formazione efficace dei dipendenti
Per rafforzare la sicurezza informatica della vostra organizzazione, vi consigliamo di leggere questi articoli:
- L’importanza della formazione sulla sicurezza informatica per dipendenti
- Guida alla consapevolezza e formazione sulla sicurezza
- Perché la formazione cybersecurity a pagamento è un buon investimento
In alternativa, richiedete una demo gratuita del nostro corso avanzato di formazione sulla cybersicurezza per i dipendenti, per vedere come una formazione efficace può migliorare la vostra difesa contro le minacce informatiche.
