La data di nascita, il classico “123”, il nome del luogo di lavoro, di un caro o un animale domestico, ancora una parola comune o “password” se ci si sente simpatici: sono tra le peggiori soluzioni che si possono adottare nello scegliere delle credenziali d’accesso. Siamo arrivati oggi all’ottavo World Password Day, da quando fu lanciato da Intel, e ancora non abbiamo imparato la lezione: a novembre 2020 le tre password più comuni in tutto il mondo erano 123456, 123456789 e immagine1, come per esempio comunica Acronis provider di soluzioni di cyber protection.
La ricorrenza offre l’occasione per ricordare l’importanza di utilizzare password sicure e forti per mettere al riparo le aziende dalle mire dei criminali informatici.
Come scegliere una password sicura, difficile da indovinare: tutti i consigli degli esperti
Indice degli argomenti
World Password Day: le best practice
Secondo l’Acronis Cyber Protection Week Global Report 2021, il 75% degli utenti IT e il 50% dei professionisti IT hanno perso dati l’anno scorso.
Per Topher Tebow, analista di Acronis e Candid Wüest VP di Cyber Protection Research “Le violazioni dei dati sembrano essere diventate un evento quotidiano. Questo significa che i nostri dati sensibili, comprese le credenziali degli account, hanno più probabilità che mai di finire tra le mani di malintenzionati cyber”.
Questo rappresenta un rischio per “la privacy delle informazioni personali, dalle credenziali dei conti bancari ai numeri di previdenza sociale. E per le aziende e i fornitori di servizi IT, il rischio è ancora maggiore: multe salate, costosi tempi di inattività e danni alla reputazione che portano alla perdita di clienti e possono anche silurare il business”.
I consigli dei due esperti sono:
- Usare password diverse per ogni servizio: “Importante che le vostre password siano uniche per ogni servizio. Se si usa la stessa password su più servizi, allora una fuga di notizie in uno di questi servizi è sufficiente per bucarli tutti. Gli aggressori useranno le credenziali trapelate da una violazione e le proveranno con un’enorme lista di altri servizi. Questi cosiddetti attacchi “credential stuffing” hanno purtroppo ancora molto successo”.
- Servirsi di autenticazione a più fattori, biometria, U2F e mantenimento delle password: utile “rivedere gli account per i quali avete le password, rimuovere quelli di cui non avete più bisogno, mantenere le password al minimo può diminuire le possibilità che i vostri nomi utente e indirizzi e-mail vengano rubati. Utilizzare una chiave U2F, che è un dispositivo fisico che si collega al computer, e la biometria può anche aggiungere un livello di complessità alle vostre credenziali”.
- Trovare un gestore di password, utile per non doversi ricordare a memoria centinaia di password
I problemi: troppe password
A proposito di usare password diverse, l’azienda di cyber security Cisco spiega che soltanto durante il periodo di emergenza è stata rilevata una crescita delle autenticazioni da 600 ad 800 milioni: “Il numero delle password è cresciuto in modo esponenziale diventando un fenomeno che genera costi aggiuntivi e difficoltà di gestione: gli utenti sono sommersi dalle password nella loro vita personale e professionale – spiegano in una nota dall’azienda -. Le richieste sulle password e sugli accessi costituiscono spesso la maggior parte dei ticket dell’help desk IT, con una conseguente perdita di produttività e aumento dei costi di supporto per l’azienda. Inoltre, le password sono facilmente compromettibili: basti pensare che, secondo il recente Verizon Data Breach Investigation Report, l’81% delle violazioni passa per il furto delle credenziali”.
La biometria in questo senso sta prendendo sempre più piede nelle aziende, prevedendo metodi di accesso senza password.
Furto password, come funziona
Le principali tecniche utilizzate per rubare le password sono:
- phishing: l’invio di una email apparentemente innocente ma che punta a ingannare gli utenti e a sottrarre dati;
- dictionary hacking: tentativo di decifrare le password attraverso la loro formulazione;
- keylogger: un programma che riesce a registrare i tasti che vengono premuti sulla tastiera e ciò che compare sullo schermo, per poi inviare la registrazione ai criminali.
Siamo tutti obiettivi appetibili per i criminali informatici, con la diffusione dello smart working lo sfruttamento dell’errore umano è un trend in crescita per arrivare a perpetuare data breach aziendali.
Per Check Point Software Technologies Ltd la formazione è un elemento fondamentale per creare consapevolezza: “La diffusione del lavoro da remoto ha aumentato significativamente il rischio di violazioni della sicurezza per le aziende, ed è per questo motivo che la validità e la sicurezza delle password sono oggi più importanti che mai. Le password continuano ad essere il sistema più utilizzato per tenere al sicuro i dati personali o per consentire l’accesso ai servizi, sia a livello personale che professionale, e rappresentano quindi un bersaglio sempre ghiotto per i cyber criminali”, spiega l’azienda in una nota.
