Una passphrase è meglio di una password, indottrinare i dipendenti sulla lunghezza e difficoltà delle password non è sufficiente, bisogna anche insegnargli a non abboccare al phishing.
La protezione delle informazioni aziendali passa per molteplici livelli che, oltre ai dipartimenti IT, coinvolgono in prima persona anche i dipendenti. È un altro dei motivi per i quali è importante la sensibilizzazione sull’importanza delle password riconosciuta al World Password Day. Nei giorni scorsi abbiamo pubblicato le regole base per la formulazione di password sicure e una provocazione circa le tecnologie passwordless e la Multi Factor Authentication. Oggi chiudiamo il cerchio con alcuni argomenti sollevati da OpenText ed ESET.
Generare una password sicura non è scontato. Dato che la sicurezza aziendale può dipendere dalla sicurezza di una sola password, OpenText consiglia alle imprese di integrare nei propri sistemi delle API in grado di verificare se la password creata sia già stata compromessa in passato.
Inoltre, è bene che tutti familiarizzino con il fatto che ciò che rende una password davvero efficace è la sua lunghezza. Le classiche password da 8 caratteri sono facilmente soggette a violazioni. Per questo ESET consiglia di non usare una semplice password, ma piuttosto una passphrase. Diverse parole, che unite compongano un concetto articolato, intervallato da lettere maiuscole minuscole, con tanto di punteggiatura: oltre ad essere difficile da indovinare per un attaccante, sarà anche più facile da ricordare.
A prescindere dalla password, resta il problema degli attacchi di phishing che mirano al furto di credenziali. Anche la chiave meglio architettata è inutile, se la si inserisce in un form online direttamente controllato dagli attaccanti. Per questo, OpenText esorta le aziende a simulare regolarmente attacchi di phishing inaspettati, per verificare il livello di preparazione dei dipendenti e intervenire con una formazione mirata laddove necessario.
La ricorrente questione dell’eliminazione delle password merita un ulteriore approfondimento nella giornata dedicata alle password. Sono molti a spingere in questo senso, più che altro per tre benefici che assicura. Il primo è il miglioramento dell'esperienza dell'utente: è fuori di dubbio che una soluzione senza password renda gli accessi più fluidi ed elimini la necessità per gli utenti di ricordare le proprie password.
In secondo luogo, è intrinseco che fare a meno delle password depenni molti problemi legati alla sicurezza: se non ci sono password da rubare, il rischio di attacca diminuisce e non c’è più il problema annoso del credential stuffing. Terzo, la mancanza di password riduce i costi, in quanto abbassa l’incidenza degli attacchi economicamente dannosi come i ransomware.
Tuttavia ci sono altrettanti aspetti negativi da mettere in conto. Il primo è che la sicurezza non è garantita al 100%. I codici OTP che spesso vengono usati al posto delle password sono soggetti ad attacchi via SMS. Se invece degli OTP si usa la biometria c’è un altro problema: in caso di violazione, una password può essere reimpostata, ma un’impronta digitale non è altrettanto rimpiazzabile.
Riallacciandoci alla questione dei costi, è vero quanto affermato sopra, ma è altrettanto verso che per una PMI l'implementazione di alcune tecnologie passwordless sarebbe eccessivamente onerosa sotto l’aspetto economico.