Di Massimo Carlotti, Sales Engineer Italy, CyberArk
La gestione delle password è un argomento molto delicato e, specialmente sul posto di lavoro, l’uso di numerose password differenti può risultare complesso.
Ogni utente adopera molte password diverse, alcune delle quali possono dare accesso a dati estremamente sensibili o a sistemi critici. Spesso si tratta di password semplici, che un hacker può individuare in modo facile, oppure di password che vengono utilizzate più volte: in questo caso, all’hacker basterà individuarne una per avere accesso ad altri account.
Ogni tanto, gli utenti danno prova di diligenza e scelgono password uniche e difficili da indovinare ma che, per risparmiare tempo, vengono salvate nei password manager dei più popolari browser (come Chrome, Safari, Firefox, Internet Explorer e Opera). La semplicità di questi strumenti è allettante, ma vale la pena affidare a loro questi dati così importanti?
Nonostante la comodità, l’abitudine di salvare le credenziali direttamente nel browser porta con sé un grosso problema di sicurezza: i password manager integrati, sempre più utilizzati, sono diventati un facile obiettivo per gli hacker. I cyber criminali puntano sul fatto che gli utenti optino per la convenienza invece della sicurezza e le credenziali salvate sono effettivamente facilissime da rubare. A questo punto, le azioni malevoli possono essere eseguite direttamente dalla workstation di un singolo utente sfruttando le password usate per i social media e/o altre credenziali memorizzate sul dispositivo.
Qual è quindi il metodo più sicuro per proteggerle e difendere la propria vita digitale?
Password Manager dedicati: pro e contro
I Password Manager dedicati consentono di salvare, generare e aggiornare tutte le password in una posizione crittografata protetta da un’unica password primaria (o da altri metodi: file key o altro ancora). Questi strumenti sono molto usati sia da utenti consumer sia da aziende, ma, come la maggior parte delle tecnologie, non garantiscono una sicurezza al 100%.
Di seguito qualche consiglio per migliorare la sicurezza di un password manager dedicato:
- Fare attenzione ai tentativi di phishing. Secondo il Verizon Data Breach Investigation Report 2019, il phishing è causa del 32% delle violazioni confermate e del 78% degli episodi di spionaggio informatico. È importante rimanere vigili e non cliccare mai sui link o sugli allegati inviati da persone che non si conoscono o che sembrano sospetti.
- Usare sempre l’autentificazione multifattore (MFA). Per accedere all’account devono essere richiesti diversi metodi di autenticazione e non solamente una password. Questo consiglio non si applica solo al password manager, ma anche ad altri servizi online come l’home banking, l’email e gli account social.
- Scegliere una password principale forte. La password principale è la chiave per sbloccare tutte le altre all’interno del sistema. Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha recentemente aggiornato gli standard raccomandati per la creazione di una password sicura. Le linee guida includono consigli per selezionare passphrase più lunghe e facili da ricordare senza regole di costruzione complesse. Il NIST consiglia inoltre di limitare il ripristino delle password solo in caso di minacce concrete, evitando ripristini programmati.
- Usare password diverse per ogni account. Non riutilizzare le password su più siti o account, anche se si tratta di una password forte. Se un account venisse violato, anche gli altri potrebbero essere compromessi. Ogni volta che si crea una nuova password per un servizio online, è necessario renderla unica. I gestori di password possono anche generarle e crearle automaticamente.
I password manager dedicati sono una buona opzione se si parla di uso personale e possono aiutare a migliorare la sicurezza dei dispositivi e delle informazioni digitali.
Per quanto concerne la sicurezza aziendale è meglio utilizzare soluzioni create specificatamente per soddisfare standard aziendali.
I password manager possono gestire solo le password di un singolo utente, ma le aziende sono composte da molte persone che, spesso, hanno esigenze diverse di accesso ai medesimi sistemi il cui utilizzo è condiviso. Un password manager personale non è in grado di gestire chi ha accesso a cosa.
Una soluzione enterprise-level garantisce che nessun utente acceda ad informazioni per le quali non possieda autorizzazione, impedendo agli hacker di sfruttare un account compromesso e rubare dati preziosi. L’arma segreta usata da queste soluzioni è la gestione degli accessi privilegiati (PAM, o Privileged Access Management), come parte integrante di una strategia di cybersecurity per controllare, monitorare, proteggere e verificare tutto quello che succede nell’ambiente IT.
I password manager personali sono sicuramente un passo avanti rispetto al tentativo di ricordare tutte le password, o peggio ancora di aiutarsi con il password manager del browser (senza citare i famosi post-it collocati attorno alla postazione di lavoro…). Possono far risparmiar tempo, incrementare la sicurezza e liberare tanta memoria, ma per gestire diversi accessi aziendali è fondamentale poter disporre di un’adeguata soluzione di livello Enterprise per la gestione degli accessi privilegiati.