Con la crescita dei service provider e con la digitalizzazione dei servizi pubblici (SPID, ospedali, fatturazione elettronica) aumenta anche la richiesta di credenziali d’accesso: nome utente, mail e password. Avere un metodo di generazione e gestione delle password velocizza queste procedure e ne aumenta la sicurezza.

Quali sono i rischi relativi ai sistemi di accesso online?

L’autenticazione biometrica è davvero sicura? Quali rischi può portare il salvataggio automatico delle password? Cosa sono e quanto sono sicuri i password manager? Che problemi può provocare il social login, ovvero usare le proprie credenziali social di Facebook o Google per accedere ad altri siti? Come fare a ricordare un numero sempre crescente di password diverse?

Interrogarsi e discutere su queste tematiche permette di creare un modus operandi funzionale e automatico, evitando che diventino inutili ostacoli nel lavoro e nella nostra vita quotidiana.

Spesso gli utenti finali vivono la questione della gestione password come un problema unicamente personale, anche quando gli account di accesso sono aziendali.

Questo aumenta i rischi di attacchi informatici alle aziende: utilizzando la tecnica della “privilege escalation” gli hacker, impadronitisi delle credenziali utente, cercano di rubare informazioni o bloccare dei servizi, anche in base ai privilegi d’accesso dell’utente hackerato.

Quali sono le modalità di attacco più diffuse?

Vediamo le modalità con cui i cybercriminali riescono ad ottenere le nostre password in modo da capirne i meccanismi e poter produrre di conseguenza delle password sufficientemente sicure.

  • Dictionary Attack: l’hacker utilizza un programma che prova ad inserire come password tutte le parole contenute in un dizionario. L’attacco può essere generico, oppure mirato, in quest’ultimo caso chi attacca imposterà alcuni parametri che normalmente l’utente finale usa, ad esempio l’anno di nascita.
  • Mask Attack: questo tipo di attacco tiene conto delle caratteristiche richieste per la costruzione della password dal service provider. Ad esempio, se sono richiesti almeno 8 caratteri di cui una maiuscola, un numero e un carattere speciale, l’attaccante sa che la maggior parte delle persone utilizzerà esattamente 8 caratteri. Inoltre, considererà che gli utenti finali sceglieranno più frequentemente certi caratteri speciali (“!”, “?”) al posto di altri ed imposterà conseguentemente il proprio programma di attacco.
  • Brute force Attack: un attacco di questo tipo non ha direttive particolari, viene utilizzato per accedere ad account che non vincolano l’utente a nessun requisito particolare. Il programma tenterà tutte le combinazioni possibili di caratteri fino a trovare la password.
  • Social Engineering Attack: questo tipo di attacco, a differenza dei precedenti, è mirato, indirizzato ad un singolo individuo. L’attaccante attraverso i social e qualsiasi informazione di cui dispone cerca di inferire la password della vittima. Spesso il cybercriminale è esso stesso un dipendente dell’azienda che conosce la persona ed altre informazioni personali, quali il nome del suo cane, la sua data di nascita. Oppure può essere un conoscente che ottiene queste informazioni attraverso i social e decide di sfruttarle a proprio vantaggio.
  • Data Breach Attack: questi attacchi sono generalmente furti da database di credenziali degli utenti da grandi aziende o service provider. Una volta che le credenziali di accesso vengono rubate, il cybercriminale le venderà in rete dando la possibilità ad altri di usarle per tentare di accedere all’account in questione o a qualsiasi account che abbia le stesse credenziali. È importante quindi non riutilizzare la stessa password su più account.

Come gestire le password per difendersi da questi attacchi?

Abbiamo visto come sia importante utilizzare password complesse e non riutilizzare le stesse password.

Nella quotidianità questi consigli possono apparire difficili da mettere in pratica da parte nostra o dei dipendenti della nostra azienda perché sembrano richiedere uno sforzo ingente per la memorizzazione di numerose password di elevata complessità.

Esistono molti metodi per facilitare questo procedimento, ognuno dei quali è tanto più efficace e sicuro quanto più è personale, cioè creato in base alle proprie esigenze e caratteristiche.

Un buon metodo è ad esempio quello di costruire password con le iniziali di frasi personali. Queste frasi possono essere testi di canzoni o frasi legate alla nostra vita personale (“mi sono sposato con Clara nel 2001!” diventa “msscCn01!”) oppure titoli di album musicali con la data di uscita (“the Dark Side of the Moon – 1973” diventa “tDSotM-73”).

Un altro metodo è quello di intervallare le lettere di due parole. Ad esempio, la parola “PAOLO” e la parola “mare” diventano “PmAaOrLeO” che si può eventualmente rendere più complessa con l’aggiunta di numeri o caratteri speciali ad esempio “PmAaOrLeO@lice”.

Al di là di qualsiasi metodo più o meno sicuro, rimane il fatto che ogni azienda ha le sue necessità e caratteristiche specifiche che influiscono sulla scelta del metodo migliore di gestione password.

Ciò che è di fondamentale importanza per i tuoi dipendenti è essere consapevoli dei rischi a cui potrebbero esporre loro stessi e la tua azienda e la creazione di un modello di generazione e mantenimento delle password che sia personale, sicuro e al tempo stesso non rappresenti inutilmente un ostacolo nei confronti delle esigenze dettate dal loro lavoro.

Scarica

Scarica la nostra guida gratuita “FATTORE UMANO E CYBER SECURITY”

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica