La sicurezza delle password è fondamentale per proteggere le tue informazioni personali e professionali. Segui questi 10 passi essenziali per migliorare la sicurezza delle tue password e salvaguardare i tuoi account online da potenziali minacce.

Amate o odiate, le password giocano un ruolo importante nella nostra vita lavorativa quotidiana. La password è diventata il modo migliore per accedere a un’applicazione aziendale e la maggior parte degli account online sono basati su password; anche con l’MFA(autenticazione a più fattori) e l’autenticazione biometrica, la password persiste come primo fattore.  

Il motivo della popolarità della password è che è semplice da usare per le persone e da implementare per gli sviluppatori. Purtroppo, però, la password ha molti talloni d’Achille e i criminali informatici sfruttano appieno la sua vulnerabilità.  

Cos’è la sicurezza delle password?

La sicurezza delle password è una parte fondamentale della sicurezza sul posto di lavoro. Ma le password vengono regolarmente sfruttate, utilizzate in modo scorretto e abusato. Alcune statistiche sconcertanti mostrano quanto sia peggiorata la situazione della sicurezza delle password negli ultimi anni:

Quante password vengono rubate?

  • I criminali informatici hanno sfruttato 1,7 miliardi di credenziali di accesso (comprese le password) nel 2021.(Indagine Spycloud)

Quanto sono insicure le password?

In che modo le password vengono utilizzate in modo improprio?

L’importanza della sicurezza delle password

Le password sono vulnerabili agli attacchi di phishing: un’indagine di Hypr 2022 ha rilevato che l’89% delle aziende ha subito un attacco di phishing nel 2021. Una ricerca sull’efficacia del phishing ha rilevato che il 32% dei dipendenti clicca su un link di phishing. L’errore umano, che comprende la condivisione di password e l’utilizzo di password deboli, è alla base del 95% degli attacchi informatici, secondo l’indagine “IBM Threat Intelligence“.

Migliorare la sicurezza delle password è un modo fondamentale con cui un’organizzazione può migliorare la propria posizione di sicurezza. Pertanto, concentrati su pratiche di password sicure per migliorare rapidamente il livello di rischio della tua organizzazione.

Ecco dieci best practice per migliorare la sicurezza delle password e ridurre la probabilità di un attacco informatico.

Dieci consigli utili per mantenere le tue password forti e sicure

1/ Non condividerli!

I dipendenti condividono le password. A  un‘indagine di Yubico e Ponemon ha rilevato che il 49% dei responsabili della sicurezza informatica e il 51% dei dipendenti condividono le password con i colleghi per accedere agli account aziendali.

Condividere le password significa che queste sono fuori dal controllo della tua organizzazione. Il controllo è fondamentale per mantenere la sicurezza. Assicurati che le tue politiche e pratiche di sicurezza rispecchino il divieto di condivisione delle password da parte dei dipendenti. Inoltre, è importante educare tutti i dipendenti all’importanza di non condividere le password.

2/ Non usare la stessa password per account diversi

I dipendenti potrebbero avere molte password da ricordare; come già detto, il 60% dei dipendenti ammette di riutilizzare le password per più account. Scoraggia i dipendenti dall’utilizzare la stessa password fornendo loro dei meccanismi per evitarlo. Questi meccanismi possono includere il Single Sign On (SSO) per gli account correlati e un gestore di password.

3/ Usa un gestore di password

Nel nostro post“Perché hai bisogno di un gestore di password“, MetaCompliance afferma che una persona media deve ricordare tra le 70 e le 80 password. Anche chi ha una memoria incredibile farebbe fatica a ricordare così tante password.

Per eliminare questo onere dai dipendenti, la tua azienda può fornire al personale un gestore di password. Un gestore di password è un archivio digitale che memorizza, protegge e presenta la password al momento dell’accesso, in modo che l’utente non debba ricordarla.

4/ Non scrivere le password sulla scrivania!

Una cattiva abitudine è quella di scrivere le password su un pezzo di carta: sono potenzialmente a rischio, soprattutto in un ambiente di lavoro, perché qualsiasi persona di passaggio potrebbe copiare la password e usarla per accedere agli account di quel dipendente. Inoltre, un dipendente che utilizza la stessa password per molti account potrebbe essere esposto a più account.

5/ Non fornire mai le password se ti vengono chieste

Assicurati che i dipendenti capiscano come funziona il social engineering. Utilizza la formazione sulla sicurezza per sottolineare come i truffatori li inducano a fornire informazioni personali, comprese le password.

6/ Rendi le password difficili da indovinare

Il La password più diffusa è 123456. Questo rende facile il lavoro di un criminale informatico. La sicurezza delle password è favorita dall’uso di password difficili da indovinare. Inoltre, crea una politica sulle password che incoraggi l’uso di password più complesse. L’ente di standardizzazione statunitense, il NIST, fornisce un aggiornamento periodico sulle password.  le politiche di password più efficaci.

7/ Cambia la password in caso di dubbio

Le politiche di sicurezza dovrebbero garantire che i dipendenti cambino le password se ritengono di essere stati vittime di phishing. Tuttavia, l’obbligo di aggiornare le password ogni X settimane o mesi può spesso portare a una scarsa igiene delle password. Se le persone sono costrette a cambiare le password, tendono a utilizzare password aggiornate meno robuste, magari aggiungendo un numero alla fine: “password” diventa “password12”.

8/ Rendi più difficili le domande per il recupero della password

Il recupero delle password è spesso un obiettivo dei criminali informatici; i metodi utilizzati per recuperare le password richiedono agli utenti di inserire dettagli come il nome da nubile della madre. Il problema è che questo tipo di informazioni può essere facilmente reperito dai truffatori che si aggirano tra i forum di internet e le piattaforme di social media.

Assicurati che il tuo sistema di recupero password sia robusto e abbia dei meccanismi di sicurezza associati per prevenire lo sfruttamento. Controlla  I suggerimenti di OWASP per un recupero robusto delle password.

9/ Non perdere le password su connessioni insicure

Una password potrebbe essere rubata se una persona utilizza una connessione internet non sicura per accedere a un account. Questo metodo comune viene utilizzato per rubare i dati, comprese le password, quando le persone utilizzano connessioni internet pubbliche. Se i tuoi dipendenti lavorano da remoto e possono utilizzare internet pubblico, assicurati che i dipendenti si connettano solo utilizzando un sito sicuro, ad esempio HTTPS o una VPN.

10/ Educare gli utenti sui pericoli degli attacchi di dizionario

Incoraggia gli utenti a non utilizzare parole comuni quando creano una password. Purtroppo le persone tendono a usare parole conosciute per le password: questo fatto viene sfruttato negli “attacchi a dizionario” che utilizzano programmi maligni per cercare di entrare in un account usando password e parole comuni.

Educa i tuoi dipendenti con un corso di sensibilizzazione alla sicurezza su tattiche come queste, e altre ancora, che gli hacker utilizzano per compromettere le password.

rischio di sicurezza informatica