Le password sono un pilastro della sicurezza fin dall'evoluzione del linguaggio umano. Questo segreto condiviso può essere usato per aprire porte fisiche e digitali. Ma come ogni segreto, se viene rivelato alla persona sbagliata, può essere usato per azioni nefaste.
Le password offrono ai criminali informatici un modo per superare il gatekeeper. Il cancello è spalancato se la password non è sicura, è condivisa o è stata sottratta. La gestione delle password aiuta a ridurre il rischio in un'organizzazione.
Ecco una panoramica di alcuni rischi legati all'uso delle password e dei consigli per la loro gestione.
Il problema delle password
Le password sono persistenti perché gli utenti le capiscono, sono comprese dagli sviluppatori di web e app e offrono una sicurezza di base. Le password persisteranno per questi motivi, anche con iniziative come il sistema senza password FIDO.
Una password sicura è la credenziale di accesso più importante, ma le password sono tutt'altro che una misura di sicurezza solida. A causa delle porte che una password può aprire, questa credenziale è diventata oggetto di attacchi informatici. Il Data Breach Investigations Report (DBIR) del 2022 ha identificato il furto di credenziali come uno dei quattro principali metodi utilizzati per violare i dati.
Il 2022 Annual Identity Exposure Report ha identificato alcune statistiche sconcertanti sulle password:
● 1,7 miliardi di credenziali (combinazioni di indirizzo e-mail e password o nome utente e password) sono state sfruttate dagli hacker nel 2021
Il 70% degli utenti utilizzava ancora le password compromesse a distanza di un anno.
La prima password riutilizzata in chiaro (cioè non criptata) era "password".
Il 60% degli utenti riutilizza le password. Un'indagine di Google ha rilevato che il 52% riutilizza le password su più account.
Solo il 20% degli utenti dispone di un gestore di password.
I costi dell'esposizione, del furto e dell'accesso non autorizzato alle password si accumulano. Il rapporto 2022 del Ponemon Institute Cost of Insider Threats ha rilevato che:
Il costo del furto di credenziali è aumentato del 65%, passando da 2,79 milioni di dollari nel 2020 a 4,6 milioni di dollari nel 2021/2022.
Per contenere una minaccia insider occorrono circa 85 giorni.
Gli incidenti che hanno richiesto più di 90 giorni per essere arginati sono costati, in media, 17,19 milioni di dollari.
Come le password finiscono nelle mani dei criminali informatici
Alcuni dei modi più tipici in cui le password vengono rubate o compromesse includono:
Infezione da malware
Il malware progettato per rubare i dati invia qualsiasi combinazione di password/nome utente/e-mail immessa dall'utente ai criminali informatici che controllano il malware.
Un rapporto di SpyCloud ha rilevato che nel 2021 il malware "RedLine Stealer" è stato ampiamente utilizzato per rubare credenziali e altri dati agli utenti Windows. Il malware era disponibile per l'acquisto su un sito web oscuro per 800 dollari o per un abbonamento a un servizio di malware-as-a-service per 200 dollari al mese.
Violazione dati: Cosa si intende per data breach?
Le violazioni dei dati offrono ai criminali informatici un modo per accedere alle password rubate e ai nomi utente o alle coppie di e-mail, ovvero alle credenziali di accesso. Ad esempio, la violazione dei dati Collection 1-5 del 2019 ha esposto 2,2 miliardi di password e indirizzi e-mail.
Le violazioni dei dati si verificano in genere attraverso l'accesso non autorizzato a un database, un'errata configurazione della sicurezza che rende il database vulnerabile, l'esposizione accidentale a causa di un'errata consegna delle e-mail o un'azione deliberata di hacking. In un ciclo di criminalità informatica, un database compromesso rilascia altre credenziali di accesso per effettuare ulteriori attacchi.
Phishing
Un modo molto diffuso per rubare le password è il phishing. In effetti, il DBIR 2022 ha indicato il phishing come uno dei quattro principali metodi di violazione dei dati per ottenere l'accesso ai dati di login. Lo spear-phishing è un problema particolare per gli amministratori di sistema e gli utenti privilegiati che vengono presi di mira per le loro credenziali di accesso privilegiato.
I fornitori di terze parti sono bersaglio degli hacker negli attacchi legati alle password. Ad esempio, nel caso dell'attacco ransomware Colonial Pipeline del 2021, un'unica password rubata a un ex dipendente è stata collegata all'attacco che ha causato la chiusura temporanea di metà delle forniture di carburante degli Stati Uniti.
Esposizione accidentale e minacce insider
Ai dipendenti piace condividere le password con i colleghi e riutilizzarle. Una recente indagine ha rilevato che quasi il 42% dei dipendenti condivide le password con i colleghi. Lo stesso studio ha rilevato che 1 dipendente su 4 aveva ancora accesso ai vecchi account anche dopo aver lasciato l'azienda.
L'esposizione accidentale della password o l'accesso non autorizzato contribuiscono in modo significativo agli attacchi informatici e alle violazioni dei dati; il DBIR 2022 ha rilevato che l'82% degli attacchi coinvolge un essere umano.
Cinque suggerimenti rapidi per la gestione delle password
Ecco cinque consigli per gestire le password e ridurre i rischi:
Impostazione e applicazione dei criteri per le password
Le politiche sulle password sono il primo passo per eliminare i rischi legati all'uso delle password. Le politiche sulle password comprendono tutto ciò che è associato alla gestione delle password e alla loro sicurezza. Ad esempio, una politica dovrebbe includere la conservazione sicura delle password e la frequenza con cui una password deve essere cambiata.
Le policy sulle password devono anche indicare chiaramente come i dipendenti devono creare e gestire le password. Le policy devono essere distribuite ai dipendenti e la loro gestione deve essere automatizzata durante tutto il ciclo di vita della policy, per garantire che sia accettata e compresa da tutta l'azienda.
Utilizzare un gestore di password
I gestori di password come Lastpass e i generatori di password riducono l'affaticamento da password e, pertanto, possono contribuire a eliminare il riutilizzo e la condivisione delle password. Se si utilizza un gestore di password, tecnicamente è sufficiente ricordare una sola serie di credenziali: la password principale per accedere al gestore di password.
Una volta effettuato l'accesso al password manager utilizzando la password principale, il password manager fa il resto: memorizza, genera, sincronizza e aggiorna le password. La password principale viene utilizzata per crittografare le password memorizzate nel caveau delle password.
Ma i gestori di password sono ancora poco utilizzati nelle aziende. Esistono molti gestori di password, ma i servizi basati sul cloud possono essere più facili da implementare e amministrare. Cercate un gestore di password che sia in grado di funzionare anche su altri sistemi operativi e che protegga altri tipi di dati, comprese le password.
Utilizzare un secondo fattore (2FA/MFA)
L'utilizzo di un secondo fattore, come un codice di autenticazione mobile, è un modo utile per aggiungere un ulteriore livello di sicurezza all'accesso di un'applicazione. Tuttavia, non bisogna affidarsi al 2FA per ottenere un controllo dell'accesso privo di rischi al 100%.
I criminali informatici stanno già studiando modi per aggirare l'autenticazione a secondo fattore. Se potete, implementate la 2FA, ma sostenete questa misura con i due consigli seguenti per ridurre il rischio delle password:
Formare i dipendenti sull'igiene delle password
Le politiche sulle password devono riflettere gli standard del settore della sicurezza informatica per la creazione, l'uso e la gestione delle password. Tuttavia, l'applicazione di questa politica richiede che i dipendenti comprendano perché le password sicure sono essenziali.
I programmi di formazione sulla sicurezza informatica includono solitamente moduli sulla creazione di password forti e sulla protezione delle password.
Utilizzare simulazioni di phishing per ridurre il furto di password
Il phishing è uno dei metodi principali per rubare password e altre credenziali. Formando i dipendenti su come funziona il phishing e su quali sono i segnali rivelatori di un messaggio di phishing, un'azienda può contribuire a prevenire il furto di credenziali tramite phishing.
Le piattaforme di simulazione di phishing offrono un modo centralizzato e configurabile per inviare messaggi di phishing simulati al personale. Una piattaforma di simulazione di phishing avanzata vi consentirà anche di personalizzare i messaggi di phishing simulati per riflettere i diversi ruoli della vostra azienda.
È probabile che le organizzazioni continueranno a utilizzare le password ancora per un po', aumentando il rischio di un attacco informatico. Tuttavia, applicando i cinque consigli qui descritti, è possibile ridurre il rischio di utilizzo delle password da parte dei dipendenti. Questi consigli aiutano a prevenire le violazioni dei dati e le infezioni da ransomware e aiutano la vostra azienda a rispettare le normative sulla protezione dei dati.