[CYBERTOOL] Password Check: nella tua azienda, la gestione delle password garantisce la sicurezza informatica?

L’ultimo rapporto Clusit del 2023 mette in luce una realtà preoccupante: una gestione inadeguata delle credenziali di accesso è alla base del 65% degli incidenti informatici riusciti. In questo contesto di vulnerabilità crescente, dove gli attacchi informatici diventano sempre più sofisticati e i programmi di password cracking sempre più efficaci, la sicurezza delle informazioni diventa un imperativo aziendale.

Il secondo rapporto Clusit 2023, pubblicato lo scorso marzo, ha evidenziato un dato rilevante: il 65% degli incidenti informatici hanno buon esito a causa di una non corretta gestione delle credenziali di accesso agli account in uso agli utenti. 

Inoltre, grazie alle tecniche e agli strumenti sempre più sofisticati utilizzati dagli hacker è possibile scoprire un gran quantitativo di password in pochi minuti. 

Esistono, infatti, specifici programmi di password cracking che permettono di combinare molteplici variazioni delle credenziali di accesso anche grazie alle c.d. Breach Password Repository, depositi pubblici contenenti elenchi di password violate a disposizione di tutti, hacker compresi. 

Come garantire, quindi, un’adeguata sicurezza informatica?  

Le 12 regole d’oro per una corretta gestione delle password 

Al fine di perseguire la confidenzialità, l’integrità e la disponibilità delle informazioni aziendali e dei dati dei propri utenti, attraverso le cybersecurity policy, l’azienda deve enunciare le principali misure di sicurezza tecniche per una corretta gestione delle credenziali di autenticazione. 

Tra i principali suggerimenti applicabili a un’ottimale gestione delle password rientrano: 

  1. Adeguata lunghezza, con un numero di caratteri compreso tra gli 8 e 15
  2. Utilizzo di 4 tipologie diverse di caratteri (lettere maiuscole e minuscole, numeri e caratteri speciali)
  3. Assenza di riferimenti a informazioni personali facili da indovinare 
  4. Preferire parole poco comuni
  5. Periodico aggiornamento, soprattutto delle password utilizzate per i servizi più importanti (ad es.: e-mail, e-banking)
  6. Utilizzo di password diverse per account diversi
  7. Evitare di utilizzare password di cui si è già usufruito 
  8. Modificare immediatamente le password temporanee rilasciate al primo accesso dai servizi in uso 
  9. Impostare meccanismi di autenticazione a fattori multipli (MFA)
  10. Evitare di condividere le password e, laddove necessario, ricordare di cambiarle subito dopo 
  11. Non impostare il salvataggio automatico delle credenziali di accesso
  12. Ricorrere a programmi c.d. “gestori di password”, che generano automaticamente password sicure. 

Le alternative alle password: prospettive e criticità 

L’enorme quantitativo di password che ogni utente è tenuto a ricordare (tanto personali, quanto aziendali) prospetta la necessità di individuare ed adottare tecniche semplici ma altrettanto adeguate a garantire la sicurezza delle informazioni

Per garantire la piena operatività aziendale è fondamentale, altresì, considerare anche i potenziali rischi. 

Tra gli strumenti più diffusi rientrano: 

  1. La biometria con cui, attraverso la registrazione di un template (ossia di un campione della caratteristica associata all’identità da autenticare, come l’impronta digitale, la forma del viso o l’iride), è possibile accedere al servizio in uso utilizzando un altro campione della caratteristica biometrica registrata dall’utente. 

Per quanto si tratti di un sistema rapido, tuttavia non è esente da alcune criticità

  • I campioni acquisiti non sono mai perfettamente identici, quindi è possibile che l’utente non venga riconosciuto (falso negativo – FNMR) oppure che venga dichiarata simile un’acquisizione biometrica appartenente ad un soggetto diverso (falso positivo – FMR); 
  • Qualora il fornitore del servizio, che ha archiviato all’interno dei propri backup i template biometrici dei propri utenti, sia vittima di un data breach, si configurerebbero gravi conseguenze per i soggetti interessati; pertanto, sarà fondamentale verificare l’accountability del potenziale fornitore prima di stipulare un contratto di fornitura (come enunciato nell’articolo Supply Management).La crittografia con cui, grazie all’utilizzo di chiavi private e chiavi pubbliche, è possibile garantire un elevato grado di riservatezza della credenziale di accesso. Tuttavia, la chiave privata (poiché composta da un numero elevato di caratteri) è di difficile memorizzazione, quindi si prospetta necessario l’utilizzo di smart card i quali implicano costi elevati per l’azienda (infatti, vengono principalmente utilizzati per servizi che richiedono un elevato livello di sicurezza). 

3 consigli operativi aziendali 

A conclusione di quest’articolo e prima dello svolgimento del tool di autovalutazione, vogliamo condividere con i nostri lettori 3 consigli operativi per una gestione consapevole degli strumenti di autenticazione, sempre in un’ottica di sviluppo della CyberSecurity Awareness. 

1. Utilizzare programmi c.d. “password manager” 

Se la memorizzazione di tutte le password in uso ad un utente è quasi impossibile, non sempre la gestione centralizzata delle stesse in capo all’azienda ne migliora l’efficienza e la sicurezza. Infatti, qualora un hacker dovesse individuare il c.d. single point of failure del sistema informatico, carpendo una sola credenziale avrebbe libero accesso a tutti i sistemi aziendali. 

Diversamente, i programmi di password manager permettono all’utente di memorizzare in modo sicuro le proprie credenziali dovendo ricordare una sola chiave di accesso: quella del servizio in uso. 

2. Consultare le Breach password Repository, verificando che la password scelta (e le sue eventuali variazioni) non sia tra quelle elencate.

3. Accertarsi che i propri account non siano stati oggetto di data breach, per esempio inserendo il proprio indirizzo mail in appositi portali online (come ad esempio Have I Been Pwned) dove verificare eventuali violazioni e seguire le indicazioni per salvaguardare i propri dati. 

CYBERTOOL – Password Check

"*" indicates required fields

La tua azienda ha consegnato ai propri utenti un Regolamento ICT dove sono descritte le regole per una corretta gestione delle password?*
Da quanti caratteri è composta la tua password?*
Le password in uso sono composte da lettere maiuscole e minuscole, numeri e caratteri speciali?*
Sono presenti riferimenti personali o parole di facile identificazione?*
Utilizzi programmi o software per verificare che la password utilizzata per i tuoi account sia effettivamente sicura?*
Per ogni account in uso, hai creato una password specifica e diversa?*
Quando aggiorno le password…*
Subito dopo il primo accesso ad un nuovo sistema, modifichi la password temporanea rilasciata dal sistema stesso?*
Come memorizzi le password in uso?*
Nel caso in cui sia necessario condividere le password di accesso ai tuoi account con un collega, vengono poi immediatamente modificate?*
Hai impostato il salvataggio automatico delle credenziali di accesso sui software che contengono dati aziendali?*
Sono impostati sistemi di autenticazione a fattori multipli?*
Conosci la Breach Password Repository e le sue potenziali utilità?*
Nella tua azienda sono impostati livelli di autenticazione diversificati in base ai livelli di rischio delle attività da eseguire?*
Hai mai verificato se i tuoi account sono stati oggetto di Data Breach?*
Nome*

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE