Sono in costante crescita negli ultimi mesi i furti di account e i cyber-attacchi, sia ad aziende che istituzioni e Pubbliche Amministrazioni. Se c’è qualcosa che possiamo imparare dai casi più eclatanti che hanno recentemente riempito le pagine dei giornali è che il primo strumento di protezione sono le spesso tanto sottovalutate password di accesso. Mai cambiate, uguali per account diversi e con strutture prevedibili. Come creare password veramente sicure ed efficaci?
Come le serrature delle porte, le password possono essere più o meno robuste e in grado di tutelare i nostri dati. E allo stesso modo, come vale per la nostra abitazione, la serratura e le chiavi di accesso non sono l’unico strumento per mantenere malintenzionati fuori dalle nostre proprietà. Restano però il primo ostacolo da affrontare per poterci privare di qualcosa e in una strategia di protezione informatica non possono essere mai essere escluse.
Ecco alcuni utili consigli per meglio destreggiarti con la protezione, l’uso e la creazione di password efficaci per la gestione degli tuoi account a livello aziendale. Utilizzali per il lavoro di tutti i giorni ma non solo: puoi applicarli anche alla gestione delle tue password personali.
Crea per i tuoi colleghi o dipendenti un manuale di best practices
In vent’anni di lavoro nel settore ne abbiamo viste di tutti i colori: password scritte su post-it affissi direttamente sul PC, account fondamentali con utente admin e password 1234, infinite quantità di password di accesso basate su date di nascita, anniversari, nomi dei propri figli.
Per questo il primo consiglio di ogni buon cybersecurity specialist, anche per conformarsi alle richieste in materia di GDPR, è quello di fornire ai propri colleghi e dipendenti tutto l’occorrente per proteggere i propri account attraverso un manuale di best practices e indicazioni pronte all’uso, possibilmente ricche di esempi.
Ad esempio, fornisci chiare indicazioni su:
- Lunghezza minima delle password,
- Uso di caratteri speciali,
- Buone norme da rispettare sulla conservazione delle chiavi,
- Obbligo di modifica delle password, schedulata in maniera regolare,
- Ulteriori pratiche e strumenti di protezione da adottare.
La varietà fa la differenza: i caratteri da scegliere per creare password sicure
Per la protezione da password hacker, in una breve sequenza di caratteri, ognuno è importante. Come costruire davvero bene le chiavi di accesso? Partendo dalle richieste specifiche della piattaforma in cui inseriremo la password e dalle indicazioni fornite dalle linee guide aziendali, la cosa migliore è quella di creare password che non rispondano solamente ai requisiti base e contegano buona varietà di elementi all’interno.
In altre parole, meglio preferire sequenze di caratteri casuali che sono:
- Sempre diverse da account ad account,
- Contengono più caratteri in maiuscolo e non una sola lettera, come da requisiti base,
- Contengono caratteri speciali poco conosciuti, e non soltanto i più utilizzati simboli di punteggiatura e interpunzione,
- Privi di combinazioni che richiamano in maniera scontata dettagli personali (spesso facilmente reperibili dai social e dal web in generale).
No alle sostituzioni ovvie
Collegandoci a quanto appena detto poco sopra, meglio non puntare sulla comodità quando si sviluppano password. Più le chiavi d’accesso sono comode per noi, maggiore è la possibilità che la sequenza venga scoperta da un malintenzionato nel giro di pochi minuti, in caso di attacco.
Il cyber-crime negli ultimi anni ha fatto passi da gigante ed è una pratica ormai comune testare la forzatura anche per password costruite a partire da parole esistenti e con sostituzioni di lettere con caratteri speciali. Un esempio può essere la sequenza: Art1c0l0!76 dove la lettera i è stata sostituita con il numero 1 e, allo stesso modo, la lettera o con il numero 0.
Meglio quindi evitare sostituzioni come:
a ➤ 4 oppure @, s ➤ 5, e ➤ 3, o ➤ 0, i ➤ 1, l ➤ / oppure \ o | e così via.
Usa la tecnica delle frasi password o punta sui caratteri casuali
Ma come fare per ricordarsi password così complesse? La tecnica più utilizzata è quella della costruzione frasi, molto simile alle filastrocche che ci vengono insegnate da bambini per ricordare elenchi e sequenze.
Se consideriamo una stringa di caratteri casuali come: &6aM-5Gtv! questa può essere facilmente ricordata costruendo una frase di senso compiuto in grado di richiamare la combinazione:
&6aM ➤ E sei andato a mangiare
-5Gtv! ➤ alle meno cinque guardi la TV!
Puoi così sbizzarrirti e sviluppare password efficaci senza avere paura di dimenticarle.
Usa un sistema sistema di Multi-Factor Authentication (MFA)
Le buone password, come abbiamo già detto, non sono sufficienti per assicurare una tutela completa. Per questo l’opzione ideale, soprattutto in azienda, è scegliere un sistema di Multi-Factor Authentication.
Con l’autenticazione a due o più fattori la chiave d’accesso non è lasciata agire da sola nella protezione dell’account ma, una volta inserita, l’utente potrà confermare la sua identità tramite conferme via SMS, e-mail, app, anche con il supporto della propria impronta digitale per una protezione veramente efficace.
Si tratta di uno strumento con un compito importantissimo soprattutto nel caso di accessi a strumenti di rete come, VPN, firewall e switch, ovvero il cuore tecnologico pulsante della nostra impresa.
Verifica regolarmente se le tue password sono già compromesse
In caso di operazioni di hackeraggio, può accadere che le tue password vengano scoperte e finiscano in grandi file assieme alle chiavi di accesso di molti altri utenti, venendo poi vendute in maniera illegale.
Verifica in maniera regolare se informazioni relative ai tuoi account sono state diffuse in rete attraverso tool gratuiti come Have I Been Pwned?. Inserendo la propria e-mail è possibile verificare se sono presenti online chiavi compromesse, associate alla stessa.
Per questo è bene prestare attenzione a notizie di attacchi hacker ad aziende con cui abbiamo rapporti o conservano nostri dati oppure piattaforme in cui possediamo account. In casi di questo tipo modificare in maniera reattiva di tutte le chiavi di accesso e una verifica attenta di eventuali furti può essere estremamente importante.
Usa un password manager: facile ricordarle, difficile ripetere gli stessi pattern
Per rendere più semplice la gestione delle password, conservarle senza difficoltà ed essere certi di non ripetere gli stessi pattern di combinazione o non usare chiavi uguali per utenze diverse, è possibile utilizzare password manager come LastPass o KeePass.
Si tratta di soluzioni decisamente efficaci anche per gli IT manager o per i reparti informatici che devono monitorare, gestire e archiviare grandi quantità di account diversi dei propri clienti, con la necessità di garantire un’effettiva tutela di tutti i dati in loro possesso.
Ultimo ma non per importanza: formazione e sensibilizzazione in azienda
“Il fattore umano è l’anello più debole della sicurezza” recita la copertina de L’arte dell’inganno di Kevin Mitnick, uno dei più famosi hacker al mondo. Ed è proprio sulla debolezza, la disattenzione, l’impreparazione dell’utente che un hacker va in genere a colpire.
Per questo una strategia di cybersecurity non è completa senza un adeguato piano di formazione e sensibilizzazione alle minacce informatiche per tutti i componenti e livelli di un’azienda.
Strumenti come Barracuda PhishLine permettono di sottoporre i propri utenti a test pratici, esercizi di riconoscimento e reazione a possibili furti di dati tramite attacchi di phishing e non solo.