Una corretta gestione e conservazione delle password è determinante se si vogliono mantenere al sicuro i dati aziendali: ma esistono regole e strategie universali per arginare i rischi di violazione?
Fra le tante misure per la protezione dati che un’azienda può adottare, la sicurezza delle password è senza dubbio quella più legata all’esperienza d’uso quotidiana dell’utente. Ma fino a che punto si possono creare chiavi di autenticazione sicure e un ambiente altrettanto sicuro per la loro conservazione?
Partiamo da un dato di fatto: la maggior parte delle persone affida la storicizzazione e la memorizzazione dei propri accessi al primo strumento che gli si para davanti, nella stragrande maggioranza dei casi il Password Manager del browser. Non c’è da stupirsi, quindi, nello scoprire che l’82% delle violazioni sia causato dalla componente umana (come rilevato da Verizon in un recente studio).
Esiste un vero e proprio fenomeno psicologico che determina questa noncuranza, chiamato Password Fatigue: il nostro cervello è in grado di memorizzare solo una quantità di limitata di password complesse e uniche. Quando queste ultime si moltiplicano subentra un meccanismo di difesa che porta a commettere errori di sicurezza, come il riutilizzo di una stessa password su più account o servizi.
Secondo uno studio del 2021 di LastPass (“Psychology of password”), nonostante il 91% delle persone sia consapevole del rischio per la sicurezza associato a controlli insufficienti sulle proprie password, il 61% continua a utilizzare le stesse credenziali per molteplici siti o servizi o sceglie password deboli e facilmente compromissibili.
FONTE: The 2021 Password Security Report - LastPassLa consapevolezza quindi non basta: in tutti gli ambiti, sia personali che professionali, le persone che non tutelano adeguatamente le proprie credenziali espongono continuamente i loro account al rischio informatico. Nel caso delle password di accesso a sistemi e servizi aziendali, è l’azienda stessa ad essere messa in pericolo.
Password deboli o ripetitive facilitano le violazioni di sicurezza da parte dei cyber criminali e possono provocare la perdita di dati sensibili riguardanti l’azienda, i clienti o i dipendenti stessi: insomma, da una gestione scorretta dei sistemi di autenticazione e memorizzazione delle password ai danni di reputazione il passo è breve. Inoltre, c’è da considerare che riparare alla perdita dei dati, una volta avvenuta, può comportare costi elevati.
La protezione delle password è una delle principali misure da tenere in considerazione quando si va ad implementare una strategia di Data Loss Prevention. Ma non tutte le organizzazioni hanno le stesse esigenze e bisogni: è necessario quindi individuare i metodi di protezione più efficaci e strategici per la propria organizzazione.
Non esiste una vera e propria regola aurea relativa agli strumenti o ai modi di gestire le credenziali di accesso: la strategia più corretta, nel momento in cui si va ad implementare un piano avanzato di protezione, è conoscere il tipo di uso che si deve fare delle proprie password e dei propri accessi, in modo da individuare i supporti più idonei, a partire dal Password Manager.
I Password Manager sono software o servizi che consentono di archiviare le credenziali in un database crittografato e generare password sicure. L'utente deve solo ricordare una singola password principale (master password) per accedere a una sorta di cassaforte virtuale (vault). Il mercato prevede molte soluzioni commerciali, sia per uso individuale che business: i player principali sono LastPass, 1Password, Dashlane, Bitwarden o KeePass.
L’implementazione di un gestore di password ha indubbi vantaggi, ma è importante che le aziende valutino le proprie esigenze specifiche prima di scegliere. Se le password devono essere accessibili da più dispositivi, magari anche in mobilità, la soluzione cloud è senza dubbio quella più pratica ed efficace.
Un’altra caratteristica da valutare, in ambito enterprise, è la collaboration: molte tra le soluzioni presenti sul mercato (LastPass, 1Password) consentono la condivisione delle password all’interno di team aziendali e la gestione delle autorizzazioni. Quanto al tipo di installazione, non è obbligatorio scegliere il cloud, questa caratteristica è garantita anche on-premises.
Optando per l’installazione su server aziendali e non su server cloud offerti dal provider del servizio, l’azienda ha maggior controllo sui dati che vengono archiviati. Tuttavia, anche nel caso di installazioni on-premises, il Password Manager può essere configurato in modo da essere esposto su internet (dunque esposto ai rischi associati ad una connessione su rete pubblica).
Per proteggersi da questi rischi si dovranno adottare misure di sicurezza ulteriori, come la configurazione del firewall, l’accesso attraverso VPN o l’uso di certificati di autenticazione. Ma la prima regola, quando si affidano i propri dati a un Password Manager (sia esso in cloud, in locale o su server aziendale), è accertarsi che la soluzione scelta sia certificata e garantisca meccanismi di protezione e sicurezza avanzati in termini di crittografia dei dati e autenticazione.
I recenti casi di Data Breach ai danni di vari sistemi di password management cloud di fornitori molto famosi (LastPass e Symantec, solo per fare due esempi), ma anche a sistemi locali come KeePass (nel quale sono state riscontrate di recente vulnerabilità che potrebbero portare all’estrazione dei dati non criptati) dimostrano che adottare un sistema di gestione e protezione delle password può non essere sufficiente per tutelarsi.
La miglior strategia per la prevenzione delle violazioni nasce dalla combinazione una serie di tecnologie, regole e buone pratiche:
Usare password complesse e uniche: la buona norma vorrebbe l’uso di password univoche, ogni sito/sistema/accesso deve avere credenziali diverse da tutti gli altri in modo da minimizzare la superficie di impatto nel caso di esfiltrazione di una delle proprie password (per esempio da siti non sicuri). Il Password Manager può aiutare a generare password casuali complesse.
Tenere separati gli ambiti di gestione delle password fra aziendale e personale, sia per quello che riguarda l’uso delle stesse password che degli strumenti di memorizzazione e storicizzazione delle stesse.
Fornire ai dipendenti una formazione chiara sulle buone pratiche per la salvaguardia delle password: ad esempio, non scrivere password su supporti in chiaro come fogli di carta o documenti di testo non protetti; dare istruzioni per la creazione di password complesse, che comportino l'utilizzo di caratteri speciali, numeri e lettere maiuscole e minuscole.
Aggiornare regolarmente le password e monitorare la sicurezza dei sistemi: cambiare regolarmente le password e non riutilizzare le vecchie password o password già in uso per servizi diversi è una buona regola di prevenzione, che si aggiunge al monitoraggio costante dei sistemi aziendali per identificare eventuali tentativi di violazione della sicurezza.
Implementare un sistema di accesso basato su autenticazione multifattore (MFA Authentication): ove possibile, e soprattutto nel Password Manager stesso, è consigliato implementare l'autenticazione a due fattori o multifattore (utilizzando ad esempio app di autenticazione come Microsoft Authenticator o Google Authenticator) per aumentare la sicurezza delle password aziendali aggiungendo un ulteriore livello di verifica dell'identità.
Utilizzare tecnologie che consentono agli utenti di accedere a più applicazioni e servizi con un'unica autenticazione come l'SSO (Single Sign-On): gli utenti possono accedere a tutti i sistemi con un'unica autenticazione, riducendo la necessità di memorizzare molte password diverse. L'SSO utilizza una combinazione di autenticazione centrale, crittografia e protocolli di sicurezza per gestire l'accesso degli utenti ai sistemi aziendali (se una password viene compromessa, solo una singola applicazione o servizio è vulnerabile, non tutti i sistemi aziendali).
Mentre le big tech iniziano a delineare un futuro ‘passwordless’, nel quale potremmo non aver più bisogno di password - che potrebbero diventare sempre meno “verbali”, in modo da essere molto più difficili da hackerare rispetto ad oggi, e sempre più basate sulla combinazione tra chiavi crittografiche, pubbliche e private - seguire una strategia di Password Management come quella appena vista può assicurare al tuo business la giusta protezione.