Avere password sicure ed efficaci significa proteggere sia i tuoi clienti che la tua azienda. Purtroppo i comportamenti a svantaggio della sicurezza dei nostri dati sono ancora molto diffusi, spesso perchè non ci si rende conto dei rischi e dei pericoli causati dalle password deboli, basti pensare che la password più violata del 2020 è stata “123456”, utilizzata ancora da due milioni di utenti e che gli hacker riescono a decifrare in meno di un secondo.
QUALI SONO GLI ERRORI CHE COMMETTIAMO QUANDO SCEGLIAMO UNA PASSWORD?
PASSWORD COMUNI: che si limitano spesso ad una sola parola, spesso banale e quindi facilmente intuibile
PASSWORD BREVI: un maggior numero di caratteri significa maggior difficoltà per decifrarla
SCHEMI DA TASTIERA: oltre l’esempio “123456” che abbiamo già citato, anche “qwerty” è una delle password più comuni e quindi più decifrabili
PAROLE AL CONTRARIO: possono sembrare una buona soluzione, ma in realtà non lo sono
INFORMAZIONI REPERIBILI: soprattutto quando l’obiettivo dell’attacco ha elevato valore, nel caso di CEO/CFO/Responsabili IT certe informazioni potrebbero essere reperite online; è quindi sconsigliato l’utilizzo di date di nascita, nomi di persona, nomi di animali…
PERCHÈ SONO CONSIDERATI ERRORI?
L’utilizzo di password facili e quindi deboli, ci espone a vari tipi di attacco:
PASSWORD SPRAYING: l’hacker tenta una serie di password diffuse su un elenco di indirizzi mail noti, purtroppo questo tipo di attacco va spesso a buon fine a causa dell’utilizzo ancora troppo diffuso di parole o frasi comuni
ATTACCHI DI FORZA BRUTA O ATTACCO A DIZIONARIO: tentativi di decifrare password combinando il nome utente o la password con termini presi dai dizionari; chiaramente se la password scelta è poco complessa, l’attacco andrà a segno
CREDENTIAL STUFFING: viene sfruttata la brutta abitudine di parecchi utenti di riciclare le stesse credenziali per diversi account e portali; vengono quindi riutilizzare le credenziali rubate per accedere ad altri siti
COME CREARE UNA PASSWORD SICURA?
- Non utilizzare solo lettere
- Utilizzare una Passphrase: non limitarsi a una singola parola, un’intera frase renderà la nostra password più complessa
- Creare una stringa casuale di numeri, simboli, lettere maiuscole e minuscole; per non avere difficoltà nel ricordarla, è possibile per esempio creare una stringa con le inziali di una passphrase, sembra casuale ma contiene una logica che conosce solo il proprietario della password
Purtroppo però i database di milioni di aziende che sono stati attaccati e violati e i milioni di password trafugate, molte acquistabili nel dark web, ci fa capire che educare i dipendenti è importante ma è a volte fallimentare: un notevole dispendio di tempo e non sempre queste regole vengono messe in pratica, questo perché purtroppo password lunghe e diverse per ogni account sono difficili da ricordare, quindi si ritorna spesso alla soluzione più semplice.
Esiste una soluzione? La risposta è sì.
L’autenticazione a più fattori (MFA) è un metodo di verifica che aggiunge un livello di sicurezza agli accessi, andando oltre la semplice combinazione nome utente/password. Ti garantisce che gli hacker non avranno accesso al tuo sistema anche se le password di uno dei tuoi dipendenti fossero compromesse.
Noi ci affidiamo ad AuthPoint, un servizio di autenticazione a più fattori del nostro partner Watchguard.
