Per anni le password sono state il baluardo della sicurezza IT aziendale. Oggi le cose sono cambiate. Una recente ricerca rivela che la maggior parte degli utenti Internet di tutto il mondo non ha compreso i principi fondamentali su cui si basa una password davvero sicura: tra le più utilizzate figurano infatti 123456 e password. Una porta aperta anche per il meno esperto dei malintenzionati.
Perché non utilizziamo password sicure?
Il problema della sicurezza delle password si fa ancora più importante quando a dover essere tutelati sono i dati aziendali. Ogni impresa dovrebbe interrogarsi sul grado di complessità delle password utilizzate dai propri dipendenti. Dietro alle password semplici da indovinare si nascondono due principali criticità: per prima cosa, spesso le persone utilizzano parole o numeri che hanno per loro un significato personale ed emotivo (date di nascita, il nome dei figli, il proprio soprannome…) e, per questo, sono meno propense a cambiarle di frequente (prassi invece altamente raccomandata da tutti gli esperti). In secondo luogo, molti utilizzano la stessa parola per accedere ai diversi account, siano essi aziendali o privati: il rischio è quello che, nel caso un account venga compromesso, anche tutti gli altri sono a rischio intrusione. Le password sicure sono quelle più complesse (un mix di numeri, maiuscole, minuscole e simboli), ma possono davvero risolvere la situazione? Secondo gli esperti no: sebbene siano considerate un elemento fondamentale, solo il 29% delle organizzazioni ritiene che queste – da sole, al di fuori di una precisa strategia – possano ridurre i rischi per la sicurezza IT. Gli operatori del settore fanno inoltre notare come spesso i dipendenti, non abituati all’utilizzo di password sicure e complesse, le dimentichino oppure le appuntino su carta o supporti digitali per ricordarsele, con il rischio concreto di farsele rubare.
Come migliorare le password e ridurre il rischio di violazioni
Formare e informare i dipendenti affinché diventino più responsabili e consapevoli è sempre un bene. Ci sono azioni che però i team IT possono intraprendere per garantire un maggiore utilizzo di password sicure senza dover demandare tutta la responsabilità ai singoli individui. Che cosa possono fare le aziende in questo senso? Gli esperti consigliano tre strategie:
- aumentare il controllo sula complessità delle password
- impiegare l’identificazione a più fattori
- implementare un software di gestione delle password
Per quanto riguarda il primo punto, gli esperti suggeriscono di fare in modo che il sistema costringa i dipendenti a utilizzare un numero minimo di battute (che oggi dovrebbe essere impostato su almeno dieci tipi di caratteri misti). Il fatto che la password più utilizzata a livello globale sia 123456, infatti, dovrebbe mettere immediatamente in allarme qualsiasi responsabile aziendale e far scattare subito le dovute correzioni. L’autenticazione a più fattori, invece, coinvolge direttamente gli utenti ogni volta che tentano di accedere al relativo account: inserita la password, il sistema richiede un secondo controllo tramite un codice univoco ricevuto su un dispositivo personale, per esempio via app o SMS, da immettere nuovamente nella pagina di log-in. In ultima analisi, gli esperti consigliano l’impiego di software che consentano agli utenti di archiviare e organizzare le proprie password. Questi gestori di password di solito memorizzano le parole criptate richiedendo agli utenti di ricordare solo una una master-password unica per accedere al proprio database contenente tutte le altre parole chiave.
Questo sistema evita che gli utenti dimentichino le password più complesse o le scrivano in luoghi poco sicuri per ricordarle. Anche se ci sono ancora ampissimi margini di miglioramento, gli analisti dicono che le aziende si stanno già muovendo nella giusta direzione: quasi una impresa su tre (31%) utilizza un software password manager, il 29% ha aumentato la lunghezza e/o la complessità (ma ridotto la frequenza delle modifiche) e il 16% ha adottato l’autenticazione a più fattori (percentuale che sale al 43% nel caso di connessioni da remoto ai sistemi informativi aziendali).
