Password: la porta blindata a protezione dei dati

Security Awareness
26 Aprile 2023
Password: la porta blindata a protezione dei dati

Impariamo a mantenerla robusta

La tecnologia oltre a rendere il mondo meno misterioso e più piccolo ci ha indubbiamente reso la vita più facile e meno faticosa. Ma, come dicono i saggi, niente è gratis e, per una strana legge di compensazione, dove c’è un vantaggio c’è sempre una perdita o comunque un rischio.

Così, se è vero che ormai basta un click per compiere praticamente qualsiasi azione o per accedere a molte conoscenze, è anche vero che ogni click che facciamo lascia una traccia che può permettere a qualcun altro di identificarci, rintracciarci, conoscere molte cose di noi e, soprattutto, infiltrarsi nelle nostre vite. Insomma, nell’era di internet vivere in incognito è diventato un lusso che in pochi possono permettersi.

I dati digitalizzati nei nostri device, personali o aziendali, rappresentano una estensione digitale della nostra persona o dell’azienda per cui lavoriamo e diventano la nostra impronta digitale. Una vera e propria identità che va salvaguardata e protetta per evitare che qualcuno ce la rubi e la utilizzi per compiere azioni che noi non avremmo mai voluto fare. Tra queste c’è senz’altro quella di muoversi nelle reti aziendali senza essere scoperti. Attività molto praticata dagli hacker che riescono vestire i panni di un dipendente dopo aver avuto accesso alle sue credenziali. Per questo motivo la sicurezza delle identità è diventata una delle priorità dei CISO

Ma i furti di identità possono avere molte altre gravi conseguenze tra cui: la creazione di profili falsi, le violazioni della privacy, la manipolazione e l’alterazione dei dati. Per le aziende, oltre a quelli citati, si possono aggiungere il furto di dati a scopo di riscatto, ovvero di lucro, o finalizzato alla concorrenza sleale. Insomma, gli attacchi di phishing mirano al furto o allo sfruttamento delle identità digitali e possono comportare gravi perdite per utenti, fornitori e persino impedire ai clienti di utilizzare i servizi online. E tutto questo avviene sempre per un errore umano, una distrazione, una sottovalutazione dei rischi.

Dall’ultima edizione 2022 del Data Breach Investigations Report (la quindicesima) è emerso, infatti, che la maggior parte dei data breach è avvenuta a causa di persone fisiche che hanno inavvertitamente e incautamente “collaborato” all’attacco. Praticamente hanno lasciato la porta di casa aperta.

Infatti, tra gli errori umani che permettono agli hacker di rubare o danneggiare le identità, c’è senz’altro quello di non avere abbastanza cura delle password e delle credenziali di accesso e di utilizzarle nel modo sbagliato.

È vero, siamo pieni di password e di credenziali, secondo i dati una persona media ne ha circa 70. Ricordarle tutte è un grande problema.

Per questo, spesso, cediamo alla pigrizia di utilizzare sempre le stesse o sceglierne di facili per ricordarle con più facilità. Un errore molto diffuso ma che invece non andrebbe mai fatto.

Alcune statistiche sconcertanti mostrano quanto sia peggiorata la situazione della sicurezza delle password negli ultimi anni:

  • I criminali informatici hanno sfruttato 1,7 miliardi di credenziali di accesso (comprese le password) nel 2021 (Indagine Spycloud).
  • La password non criptata più utilizzata è “password” (indagine Spycloud).
  • Il 45% degli utenti non cambia le password dopo una violazione (Studio LastPass).
  • Il 60% degli utenti riutilizza le password (Indagine Spycloud).
  • L’84% utilizza la stessa password per più account (Sondaggio Bitwarden).
  • L’errore umano, che comprende la condivisione di password e l’utilizzo di password deboli, è alla base del 95% degli attacchi informatici, secondo l’indagine “IBM Threat Intelligence“.

Sono dati che rendono bene l’idea di quanto sia importante, per contrastare il crimine informatico e proteggere i nostri dati, mantenere password forti e sicure, cosa che equivale a dotarsi di una robusta porta blindata a protezione della nostra casa, assicurandosi di chiuderla sempre correttamente.

Qui di seguito elenchiamo alcuni tra gli errori più diffusi nell’utilizzo delle password e i relativi suggerimenti per farvi fronte

Non condividerle
Un’indagine condotta da Yubico e Ponemon ha rilevato che il 49% dei responsabili della sicurezza informatica e il 51% dei dipendenti condividono le password con i colleghi per accedere agli account aziendali.  É sempre buona norma non farlo.

Non utilizzare la stessa password per diversi account.
Il 60% dei dipendenti ammette di riutilizzare le password per più account. Si può ovviare alla difficoltà di ricordarle tutte attraverso un gestore di password.

Non lasciare la password scritta sulla scrivania
Spesso per comodità la password viene scritta su un foglietto e lasciata in bella vista, cosa che incoraggia qualsiasi persona di passaggio a copiarla. Se, inoltre, il dipendente utilizza la stessa password per molti account si espone a più violazioni.

Non fornire mai le password anche se vengono chieste
Spesso i truffatori inducono i dipendenti, attraverso l’ingegneria sociale, a fornire informazioni personali, comprese le password. Attenzione a non cadere nella trappola.

Rendere le password difficili da indovinare
La password più diffusa è 123456. Una scelta che rende facile il lavoro di un criminale informatico. É opportuno in un’azienda incoraggiare l’uso di password più complesse.

Cambiare le password in caso di dubbio
Le politiche di sicurezza dovrebbero garantire che i dipendenti cambino le password se ritengono di essere stati vittime di phishing.

Rendere più difficili le domande per il recupero della password
Il recupero delle password è spesso un obiettivo dei criminali informatici; i metodi utilizzati per recuperare le password richiedono agli utenti di inserire dettagli come il nome da nubile della madre, informazioni facilmente reperibili dai truffatori. Bisogna dunque dotarsi di un sistema di recupero password robusto.

Non perdere le password a causa di connessioni non sicure
Una password potrebbe essere rubata se una persona utilizza una connessione Internet non sicura, come lo sono spesso quelle pubbliche. In questi casi, meglio utilizzare un sito che offre maggiori garanzie di sicurezza, ad esempio HTTPS o una VPN.

Non usare parole comuni in una password
L’utilizzo di parole comuni nella creazione di una password viene sfruttato dagli hacker che utilizzano programmi maligni per cercare di entrare in un account utilizzando password e parole comuni.

Questi suggerimenti elencati, anche se sembrano di banale comprensione in realtà sono molto complessi e hanno bisogno di una specifica formazione e preparazione per essere assimilati e metabolizzati. Soprattutto in un’azienda o in un’organizzazione, dove la posta in gioco è molto alta così come lo è la possibilità di commettere errori, non si può più prescindere da una specifica formazione su questi aspetti. Partendo dal dato assodato che all’origine dell’attacco c’è sempre l’errore umano, è principalmente su questo che bisogna intervenire in modo preventivo. La vera barriera di protezione è infatti rappresentata da dipendenti adeguatamente formati e continuamente aggiornati. Un portone blindato a protezione dell’azienda che darà agli hacker un filo molto duro da torcere.

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto