Scegliere le password. Errori e pericoli

Scegliere le password. Errori e pericoli

Intervista a Roberto Giovanni Loche – DPO, Cyber Consultant

A cura di Luigi Torriani

Il 6 maggio 2021 si è celebrata la “Giornata mondiale della password”, dedicata a un tema fondamentale – e troppo spesso sottovalutato – in materia di sicurezza informatica. Secondo il report Verizon Data Breach Investigation l’81% delle violazioni informatiche è legata al furto delle password, il che significa che troppe persone – quando scelgono una password – non lo fanno in maniera corretta. Quali sono gli errori più frequenti?

La giornata mondiale delle password è una ricorrenza importante, visto che ogni anno aumenta il numero di violazioni massive di dati, password comprese, che generano furti di identità e truffe informatiche che colpiscono veramente tutti.

Nonostante ciò, le password sono considerate come qualcosa di noioso, che richiede attenzione e fatica, una scocciatura davanti alla fretta di accedere a un sito, chattare in libertà, spedire un documento. Motivo per cui prendiamo scorciatoie pericolose, come scegliere password semplici e facili da memorizzare, usare la stessa password per più servizi oppure non cambiarle dopo un attacco informatico. Password lunghe e articolate, alfanumeriche e con caratteri speciali, rendono più difficili i data breach: però la tendenza globale è ancora puntare alla semplicità, forse per ricordarsi meglio le credenziali.

Diverse indagini hanno mostrato infatti che su un miliardo di credenziali analizzate, circa sette milioni erano “123456”, e poi le solite “password”, “dragone”, e “Ronaldo”. Questo rappresenta un rischio enorme per la sicurezza delle informazioni sia personali sia aziendali, soprattutto in tempo di smart working.

Ecco gli errori più comuni nella gestione delle password.

  • non cambiare regolarmente le password
  • utilizzo di password troppo brevi
  • utilizzo di password non complesse
  • utilizzo di informazioni personali nelle password
  • riutilizzo delle password
  • non utilizzare un gestore di password
  • non utilizzare l’autenticazione a più fattori (MFA)
  • memorizzare le password su computer o telefono

Se la maggioranza di noi si dotasse di password sicure il numero dei cyberattacchi nel mondo subirebbe un drastico calo.

 

Quali sono le tecniche più usate dagli hacker per rubare le password?

Le password continuano ad essere il sistema più utilizzato per tenere al sicuro i dati personali o per consentire l’accesso ai servizi, sia a livello personale che professionale, e rappresentano quindi un bersaglio sempre ghiotto per i cyber criminali.

Le tecniche principali per rubarle sono:

  • phishing: l’invio di una email apparentemente innocente ma che punta a ingannare gli utenti e a sottrarre dati;
  • social engineering: una tecnica per carpire informazioni attinenti al sistema informatico;
  • dictionary hacking: tentativo di decifrare le password attraverso la loro formulazione;
  • keylogger: un programma che riesce a registrare i tasti che vengono premuti sulla tastiera e ciò che compare sullo schermo, per poi inviare la registrazione ai criminali.

Siamo tutti obiettivi appetibili per i criminali informatici, e con la diffusione dello smart working lo sfruttamento dell’errore umano è un trend in crescita per arrivare a perpetuare violazioni di dati personali e aziendali.

In questo contesto ad alto rischio di data breach, oltre a dotarsi di tecnologie di sicurezza, la formazione degli utenti per aumentarne la consapevolezza è un elemento fondamentale per mitigare i rischi.

La diffusione del lavoro da remoto ha aumentato significativamente il rischio di violazioni della sicurezza per le aziende, ed è per questo motivo che la validità e la sicurezza delle password sono oggi più importanti che mai.

 

Avere tante diverse password e aggiornarle spesso, aumenta certamente il livello di sicurezza informatica dei propri profili, ma rappresenta anche un onere importante, quantomeno una grande seccatura. C’è chi sogna un mondo senza password. Ci arriveremo secondo te? Se sì, quando e in che modo?

Ci vorrà del tempo per creare un mondo senza password ma nuovi sistemi di autenticazione si stanno già facendo largo per soddisfare le esigenze degli utenti, che vogliono facilità d’uso, e quelle degli amministratori IT, che cercano invece qualcosa di più sicuro. 

Grandi organizzazioni, come Google e Microsoft, hanno già lanciato una sfida per conquistare il mondo dell’autenticazione utente e dichiararlo “password-less”.

L’autenticazione password-less si basa fondamentalmente sul possesso di due elementi, uno pubblico e uno privato, per il buon esito del processo. La parte pubblica risiede sui sistemi che rendono disponibile il servizio al quale ci si vuole autenticare ed è fornita in fase di registrazione, l’elemento privato necessario all’autenticazione risiede invece su un dispositivo fisico in possesso dell’utente.

Per le organizzazioni i vantaggi sono molteplici, perché il carico di lavoro dovuto alla gestione delle problematiche legate al furto/smarrimento di password è sensibilmente ridotto. Inoltre, anche gli utenti stessi hanno benefici in termini di produttività adottando una soluzione passwordless: l’accesso ai servizi sarà estremamente più semplice, non richiedendo sforzi mnemonici ma il semplice possesso del proprio smartphone o altro dispositivo hardware selezionato dall’ IT aziendale.

Cisco ha annunciato una modalità di autenticazione senza password in modo che gli utenti possono accedere alle applicazioni cloud tramite una chiave di sicurezza, oppure attraverso il riconoscimento biometrico.

Ma ci sono soluzioni ancora più innovative, come quella della start up torinese ToothPic, che ha inventato una soluzione per trasformare ogni smartphone in una chiave sicura per l’autenticazione online, sfruttando la firma nascosta e involontaria che lascia ciascuna fotocamera.

Ma al di là della scelta della tecnologia da utilizzare, la strada per sostituire le nostre password passa attraverso il cambiamento culturale dell’organizzazione, coinvolgendo gli utenti a tutti  i livelli, al fine di evitare che si chiuda una porta di sicurezza e se ne aprano altre. Se l’azienda decidesse di utilizzare sistemi di autenticazione senza password, consiglierei di attuare un progetto pilota con ristretto numero di utenti, per testare la tecnologia prima di adottarla, per poi pianificare un’adeguata formazione rivolta a tutti gli utenti.

 

Il tema delle password è strettamente legato a quello della privacy, e alla tendenza – che sempre di più abbiamo – ad affidare a mail e a messaggi whatsapp dei dati sensibili nostri o della nostra azienda. Non sarebbe meglio – quando sono in gioco delle questioni delicate – parlarne come si faceva una volta di persona, dal vivo, o quantomeno al telefono, anziché mandare una mail? Qual è il tuo pensiero in proposito?

La posta elettronica ha un ruolo principe sia in termini di usabilità che di funzioni accessorie che si sono sviluppate, ma le modalità d’utilizzo che sono state variamente adottate, oltre alla insicurezza intrinseca dello strumento, l’hanno resa una delle maggiori minacce alla sicurezza delle informazioni sia aziendali sia personali.

WhatsApp prende facilmente per mano chi lavora da remoto o si trova fuori ufficio; la sua semplicità e facilità di impiego la rende immediatamente familiare. Ma la semplicità spesso non va d’accordo con la sicurezza; approfittando della superficialità degli utenti un hacker potrebbe trasferire facilmente sui dispositivi delle vittime virus e malware.

Bisogna quindi essere consapevoli che se utilizziamo questi strumenti per interscambiare dei dati riservati, in mancanza di misure tecnico/organizzative finalizzate ad aumentarne la sicurezza di utilizzo, aumentiamo enormemente la possibilità di subire attacchi informatici e di conseguenza violazioni di dati personali e/o di business.



Accetta la nostra privacy policy prima di inviare il tuo messaggio. I tuoi dati verranno utilizzati solo per contattarti in merito alla richieste da te effettuate. Più informazioni

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close