Perché le PMI devono prestare attenzione alle password?
Secondo il Data Breach Investigation Report del 2017 pubblicato da Verizon , ben l’81% delle violazioni dei dati è causato da password vulnerabili o rubate. Considerato che online sono andate perse più di 5 miliardi password, la protezione di base non può più bastare.
E se si pensa che la propria azienda non sia per niente appetibile per i criminali informatici, è necessario ricredersi. Le PMI rappresentano una preda molto ambita da questi soggetti, in quanto possiedono dati e risorse più preziosi dei dispositivi degli utenti, ma sono più vulnerabili rispetto ad aziende con budget di protezione più elevati.
Ulteriori informazioni
Il problema viene amplificato dal crescente numero di aziende che integrano dispositivi “intelligenti” nella propria infrastruttura IT. Sebbene L’Internet degli oggetti (Internet of Things, IoT) li aiuti a rendere le operazioni aziendali più agevoli e veloci, questi strumenti sono spesso vulnerabili e vengono eseguiti con nomi utente e password predefiniti dell'amministratore, con un rischio potenzialmente pericoloso.
Inoltre, il nuovo Regolamento generale sulla protezione dei dati dell'UE (GDPR) afferma che le aziende di tutte le dimensioni sono in grado di garantire la sicurezza dei propri dati attraverso l'implementazione di “appropriate misure tecniche e organizzative”. Pertanto, in caso di violazione dei dati e di utilizzo di password semplici e statiche, è lecito aspettarsi l’applicazione di sanzioni di particolarmente salate.
In tutto il mondo, le leggi e i regolamenti in materia di privacy sono stati rafforzati. La recente emanazione del National Data Breach (NDB) che sancisce i requisiti dell'Australian Privacy Act e delle varie normative in materia di privacy degli Stati Uniti che prevedono rigorosi requisiti di segnalazione delle violazioni dei dati, stanno provvedendo a innalzare gli standard per tutti coloro che sono in possesso di dati sugli abitanti di tali giurisdizioni.
In che modo gli autori degli attacchi rubano le password?
1. Tra le tecniche più semplici utilizzate nel mondo reale è possibile annoverare il “shoulder surfing”, un tipo di attacco in cui gli autori osservano le potenziali vittime durante la digitazione delle password.
2. Gli autori degli attacchi approfittano della “debolezza umana” delle vittime attraverso l’ingegneria sociale . Un modulo online dall’aspetto professionale o un'e-mail (attacco di phishing) proveniente da un mittente apparentemente affidabile può persuadere anche gli utenti più competenti a divulgare le proprie password.
3. I criminali informatici che hanno preso piede in una rete aziendale possono utilizzare i malware per ricercare documenticontenenti password o registrare la pressione dei tasti durante la digitazione delle password e inviare queste informazioni al server C&C. I Black hat possono anche estrarre i file delle password crittografati ed eseguire una violazione offline.
4. Tecniche di attacco più complesse comprendono intercettazioni del traffico di rete dei dispositivi dei dipendenti utilizzati da remoto o in luoghi pubblici.
5. Uno dei metodi più comuni per violare le password è l’attacco di forza bruta. Gli script automatici provano milioni di combinazioni di password in un periodo di tempo limitato fino a quando non trovano quella corretta. Per questo motivo, è necessario che nel corso degli anni le password diventino sempre più lunghe. Maggiore è la complessità delle password, più lunghi saranno i tempi impiegati dai criminali informatici per indovinarle.
In che modo è possibile elaborare un criterio efficace per la creazione delle password?
Per fare in modo che l'azienda disponga di un criterio efficace per la creazione delle password, si consiglia di attenersi alle procedure illustrate di seguito:
- È necessario formare i dipendenti sulla creazione di password complesse.
- I reparti IT dovrebbero implementare regole di impostazione e applicazione di un criterio per la creazione delle password aziendali.
- Si consiglia a tutte le aziende di attuare una serie di misure protettive aggiuntive tese ad aumentare la sicurezza delle password in tutti i reparti.
Cos’altro può fare la tua azienda per proteggere le proprie password?
Per una protezione più efficace delle password dei dipendenti, si consiglia l'utilizzo dell’ autenticazione a due fattori (2FA) . Questo strumento verifica l'identità del titolare dell'account con un passcode monouso: qualcosa che l’utente possiede – oltre al nome utente e alla password – qualcosa che l'utente conosce – proteggendo in tal modo l'accesso ai sistemi aziendali anche in caso di perdita o furto delle credenziali.
Poiché gli SMS e i dispositivi mobili sono spesso oggetto di attacchi di malware, le moderne soluzioni 2FA si astengono dall'utilizzo della verifica via SMS optando invece per le notifiche push, in quanto più sicure e semplici da utilizzare. Per potenziare ulteriormente la sicurezza del processo di autenticazione, le organizzazioni possono aggiungere un ulteriore strumento che prende il nome di “biometria” – qualcosa che rappresenta l’identità dell'utente – attraverso l’attuazione dell’autenticazione a più fattori (Multi-Factor Authentication, MFA).
La potente tecnologia 2FA di ESET garantisce una protezione efficace delle password
L'autenticazione mobile con un solo tocco offre una guida per una protezione dei dati semplice e conforme ai requisiti di legge. È incentrata su notifiche push di facile utilizzo per i sistemi operativi Android e iOS e offre una gestione facilitata e una distribuzione rapida nel giro di 10 minuti. Provala subito e scopri come funziona.
Maggiori informazioni
