Nonostante la continua sensibilizzazione sul tema password, i dipendenti delle grandi imprese continuano a scegliere password semplici da hackerare e che quindi mettono in serio pericolo gli account aziendali.
Anche i dipendenti delle aziende più ricche del mondo hanno pessime abitudini nella scelta e gestione delle proprie password. A rivelarlo una nuova ricerca di NordPass. È da anni che gli esperti di cybersecurity ripetono l’importanza di scegliere password solide, in particolar modo all’interno di contesti aziendali. Ma i dipendenti delle società più importanti del mondo continuano a ritenere sufficienti credenziali banali come “123456” e “password”.
Account aziendali in pericolo a causa di scelte superficiali
“Da un certo punto di vista, sembra paradossale che le società più ricche del pianeta, con tutte le risorse necessarie per investire in cybersecurity, si rivelino così superficiali nella scelta e nella gestione delle password. Da un’altra prospettiva, però, questo fenomeno dimostra ancora una volta che le cattive abitudini sono profondamente radicate in un numero sorprendente di utenti. Questa ricerca ribadisce quanto sia importante velocizzare la transizione verso sistemi di autenticazione online alternativi”, ha dichiarato Jonas Karklys, amministratore delegato di NordPass.
Anche se l’analisi di NordPass sull’uso delle password da parte degli utenti di internet non si interrompe mai, quest’anno l’azienda ha deciso di concentrarsi nel dettaglio sulle password utilizzate dai dipendenti delle società più grandi del mondo (da 31 Paesi diversi) per proteggere gli account aziendali. I ricercatori hanno quindi compilato una lista contenente le 20 password più utilizzate per ogni settore industriale.
“Dummies” “sexy4sho” e altre password particolari
Secondo lo studio, “password” e “123456,” rispettivamente al primo e secondo posto nella classifica delle password più usate al mondo dell’anno scorso, vanno per la maggiore anche nelle aziende più importanti. Nei 20 settori analizzati, entrambe le password sono rientrate nella classifica delle 7 scelte più utilizzate.
In alcuni settori si nota anche una creatività maggiore rispetto ad altri. La password “dummies” è al sesto posto fra i dipendenti del settore dei beni di consumo, “sexy4sho” (traducibile in “sicuramentesexy”) è al 16° posto fra quelli del settore immobiliare, mentre “snowman” (pupazzo di neve) è all’11° nel settore energetico. E, a quanto pare, chi lavora nel settore finanziario sembra avere un bisogno urgente di staccare la spina perché le password più utilizzate sono “ready2go” (pronto a partire), “vacation” (vacanza) e “summer” (estate).
La musa ispiratrice delle password
Così come succede fra gli utenti “standard”, le parole del dizionario, nomi di persone e Paesi, o semplici combinazioni di numeri, lettere e simboli sono fra le chiavi più comuni che rendono più vulnerabili gli account aziendali rilevate da questa ricerca.
Detto questo, il rimanente 32% indica un’altra tendenza interessante. I dipendenti delle compagnie più ricche del mondo adorano le password che fanno riferimento diretto o indiretto al nome di un’azienda. La ragione sociale, il nome di dominio usato dalle password aziendali, parte del nome della ditta, una sua abbreviazione, il nome di un prodotto o di una società controllata sono fra le fonti di ispirazione più comuni.
“Password di questo tipo sono al tempo stesso fragili e pericolose. Questo perché gli hacker provano spesso password contenenti il nome aziendale per accedere in maniera illecita a sistemi di società specifiche. Non è un caso: l’esperienza suggerisce che password di questo tipo sono fra le più comuni. I dipendenti spesso evitano di usare credenziali complesse, in particolar modo negli account condivisi. Per questo motivo si trovano spesso a optare per scelte troppo semplici, magari influenzate dal nome dell’azienda”, ha continuato Jonas Karklys.
Numeri e ampiezza dello studio
L’analisi delle password delle aziende più ricche al mondo è stata condotta in partnership con ricercatori indipendenti specializzati in incidenti di cybersecurity. Sono state prese in considerazione le 500 società più importanti per capitalizzazione, a rappresentare 31 Paesi e 20 settori industriali.
Stati Uniti (46,2%), Cina (9,6%), Giappone (5,8%), India (4,2%), Regno Unito (4%), Francia (3,8%) e Canada (3,6%) sono stati i Paesi più rappresentati in questa ricerca. Per quanto riguarda invece i settori più coinvolti, si possono citare finanziario, tecnologico e sanitario.
Le password sono destinate a morire
Lo studio è l’ultimo di una serie di progetti legati alle password condotti da NordPass negli anni. Nel 2021, sono state analizzate le password usate nelle aziende Fortune 500, mentre nel 2022, l’oggetto dell’investigazione erano state le password dei manager aziendali più importanti. Ogni anno Nord Pass presenta anche la ricerca delle “200 password più usate”, che offre uno sguardo d’insieme sulle tendenze principali in questo ambito.
“Se i trend variano ogni anno a seconda del tipo di pubblico considerato, in generale si può notare come le persone continuino a gestire male le proprie password. Sembra chiara la necessità di nuove soluzioni per l’autenticazione online come le passkes”, ha sottolineato Jonas Karklys.
Aziende note per l’impegno verso l’innovazione come Google, Microsoft, Apple, PayPal, KAYAK ed eBay hanno già adottato questa tecnologia, offrendo soluzioni di accesso senza password ai propri utenti. Secondo Karklys, a breve saranno molte altre le aziende online che seguiranno questo percorso.
Consigli per proteggere gli account aziendali
Secondo un report di IBM, nel 2022 il furto delle credenziali ha continuato a essere la causa più comune dei data breach aziendali, rappresentando il 19% dei casi di violazione dei sistemi informatici e degli account aziendali. Secondo Karklys, implementando qualche misura a protezione della cybersecurity, le aziende potrebbero prevenire diversi problemi.
- Assicurarsi che le password aziendali siano solide. Dovrebbero essere formate da combinazioni casuali di almeno 20 lettere maiuscole e minuscole, numeri e caratteri speciali.
- Attivare l’autenticazione a più fattori o l’SSO (single sign-on). Se l’MFA, ovvero l’autenticazione a più fattori, fa uso di codici inviati via email o SMS per garantire uno strato protettivo in più, la funzionalità single sign-on aiuta a ridurre il numero di password che gli utenti si trovano a gestire.
- Valutare con attenzione a chi assegnare gli account aziendali. La possibilità di accedere al sistema informatico dovrebbe essere limitata o tolta alle persone che lasciano l’azienda. Sarebbe opportuno anche segmentare l’accesso alle varie risorse, garantendolo solo ai dipendenti che ne hanno bisogno diretto.
- Utilizzare un password manager. Con una soluzione tecnologica pensata e sviluppata per le aziende, è possibile conservare tutte le password in un luogo sicuro, condividerle all’interno dell’organizzazione, così da garantire la solidità e gestire i privilegi d’accesso in modo efficace.
