L’aumento del numero di account online rende oggi le nostre password sempre più vulnerabili e prevedibili. La causa? Ancora una volta fattori psicologici che offuscano il nostro pensiero razionale fornendo preziosi assist agli hacker. Per questo, di recente, il NIST ha messo in discussione le tradizionali policy di gestione: da qui abbiamo estratto 6 consigli per migliorare la sicurezza aziendale delle password.

 

Si diceva che non sarebbero più state necessarie, che sarebbero state sostituite da sistemi biometrici, invece le password rimangono al centro della nostra vita digitale, sia in ambito privato che lavorativo.

Secondo la ricerca “La psicologia delle password”, che LastPass ripropone dal 2016 ogni due anni, oggi in media abbiamo 38 account con credenziali a cui accediamo abitualmente.

Che tipo di password scegliamo per proteggere le informazioni dei nostri account finanziari, di posta elettronica, per lo shopping e di lavoro?

I risultati che emergono dalla ricerca sono un campanello d’allarme per i reparti IT: nonostante ci sia consapevolezza dell’importanza della sicurezza delle password, questa non si trasforma in azioni concrete.

 

Perché non scegliamo password sicure?

Dal sondaggio LastPass 2020 risulta evidente come le persone non si proteggano dai rischi per la sicurezza informatica, anche se sanno che dovrebbero:

 

  • Il 91% degli intervistati riconosce che usare un’unica password o una simile sono un rischio, tuttavia, quando crea una password, il 66% usa sempre, o quasi, la stessa password o una sua variante. Questa tendenza è aumentata dal 2018, in cui solo il 59% riutilizzava una password. Significativo il fatto che il 62% degli intervistati riutilizza la stessa password sia per gli account di lavoro e che per quelli personali.
  • Il 77% sostiene di conoscere le migliori pratiche per la sicurezza delle password, ma il 48% dice che, se non è esplicitamente richiesto, non modifica la propria password.
  • L’80% si preoccupa del fatto che le proprie password possano essere compromesse, tuttavia, il 54% si affida solo alla propria memoria per tenerne traccia.

Le persone continuano a preferire password ricordabili, piuttosto che password sicure. Perché?

Secondo la ricerca di Lastpass ci sono due tipologie di approcci. Entrambi ci portano a scegliere password facilmente identificabili dagli hacker:

  • da un lato ci sono le personalità che ritengono di non essere interessanti per i criminali informatici,
  • dall’altro quelle che hanno bisogno di avere tutto sotto controllo.

 

Sottostimare il rischio

Molte persone non si rendono conto di quante informazioni su di loro sono disponibili online. Il 71% degli intervistati ritiene di avere tra 1 e 20 account online. Questa stima però corrisponde solo alla metà del numero medio reale di account che comunemente utilizza una persona.

Inoltre, molti sottostimano il valore delle loro informazioni personali. Il 42% pensa che il proprio account non abbia informazioni di valore per un hacker. Di conseguenza non ha motivo per scegliere una password sicura.

Al contrario, ognuno di noi può essere un bersaglio: i cybercriminali rubano le informazioni dell’intero database di un sito, magari di un e-commerce, e poi usano le credenziali rubate per tentare di accedere a siti più rilevanti, come quelli di online banking. 

Bisogno di controllo

Nel 52% dei casi le persone riutilizzano la stessa password perché hanno bisogno di avere tutto sotto controllo, di opporsi alla casualità, di ricordarsi tutte le password. Il 60% delle persone ha paura di dimenticare le credenziali di accesso: non ha fiducia nei sistemi di gestione password o nella funzionalità di memorizzazione dei browser, però si fida della propria memoria.

Queste persone ritengono di usare una password sicura perché utilizzano un “sistema” personale per creare password. Molto spesso il sistema non è per niente caratteristico, ma ricorrente tra le persone: per esempio usano il nome dell’account più numeri che hanno un significato. Password ricordabili quindi, ma anche facilmente indovinabili.

 

Come aiutare gli utenti a superare queste paure e utilizzare password più sicure?

Come creare password sicure

Le regole per la sicurezza delle password conosciute fino a oggi, sono state recentemente messe in discussione dal NIST. L’agenzia federale statunitense, riferimento a livello mondiale per lo sviluppo di standard tecnologici come il cybersecurity framework, ha dato delle nuove indicazioni che hanno sancito un’inversione di rotta rispetto alle regole in uso finora, andando finalmente incontro alle esigenze degli utenti.

 

Nuove linee guida NIST per la sicurezza delle password

Il nuovo framework si focalizza sulla necessità di semplificare la gestione delle password da parte degli utenti, omettendo requisiti per la sicurezza complessi e ormai sorpassati. Di seguito i principali cambiamenti da adottare nei sistemi informatici aziendali per agevolare i colleghi e rendere più sicura l’azienda.

 

1) Non cambiare periodicamente la password: sostituiscila solo nel caso in cui ci sia un evidente prova di compromissione.

La regola di cambiare password ogni 3 o 6 mesi nasceva 20 anni fa proprio su indicazione del NIST. Questa usanza comporta la creazione di nuove password apportando solo piccole modifiche alla password originale. Il risultato sono password più prevedibili, piuttosto che password sicure. Questo, assieme alla maggiore potenza di calcolo di eventuali software di cracking oggi, rende la regola ormai superata.

 

2) Evita le regole di composizione.

L’aumento forzato della complessità delle password, che richiede la presenza di determinati caratteri (una lettera, un numero, maiuscole, minuscole, un simbolo, …), oltre ad essere un peso inutile per gli utenti, si è rivelato un aiuto agli hacker, che grazie alle regole possono decifrare più facilmente il codice.

 

3) Evita le domande di sicurezza e i suggerimenti per il recupero password.

Le domande sono di solito banali, riguardano animali domestici, indirizzi, squadre del cuore. Con una breve ricerca sui social network gli hacker potrebbero essere in grado di risalire facilmente alle risposte.

 

4) Aggiungi un controllo che blocchi nuove password se già presenti in una blacklist.

Il modo migliore per bloccare l’uso di password vulnerabili nella propria azienda è utilizzare un filtro per la creazione. Bisogna quindi creare una blacklist che contenga:

  • Password comunemente usate
  • Password già compromesse, ottenute da precedenti violazioni (queste liste sono disponibili online)
  • Parole contenute nei dizionari
  • Caratteri ripetuti o in sequenza (es. “aaaaaa”, “1234abcd”)
  • Parole specifiche del contesto aziendale, come il nome di un servizio, un nome utente e i loro derivati

 

5) Imposta un’adeguata lunghezza della password e limita il numero di tentativi di autenticazione sbagliati.

Si dovrebbe dare la possibilità di impostare una password compresa tra una lunghezza minima di 8 caratteri e una lunghezza massima di almeno 64 caratteri. Inoltre, per aumentare la sicurezza, si dovrebbe limitare il numero di tentativi di autenticazione, per evitare che un sistema automatico riesca ad accedere casualmente dopo innumerevoli tentativi.

 

6) Abilita l’uso di caratteri speciali, la funzionalità del copia/incolla e la visibilità della password durante la composizione.

Per rendere più complesso decifrare una password, abilita l’uso di tutti i caratteri ASCII stampabili, come dei caratteri UNICODE (emoji compresi). Queste opzioni, assieme al punto precedente, favoriscono l’utilizzo di programmi di password manager.

 

Aiuta i tuoi dipendenti a usare password più sicure

Share This