Dovremo continuare a convivere con le password ancora per anni. È necessario quindi creare nelle aziende la cultura sull’utilizzo di questo strumento che rappresenta la chiave d’accesso ai dati aziendali e che è spesso gestito con scarsa attenzione
L’81% delle violazioni degli account sono realizzate con password rubate e/o password deboli. Lo afferma il Verizon Data Breach Investigation Report. Non è più ammissibile assistere nelle aziende a un uso delle credenziali che non tenga conto delle misure di sicurezza che qualunque utente dovrebbe invece mettere in pratica. L’applicazione di queste best practices si scontra oggi con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: secondo LastPass (uno dei più noti gestori di password) il dipendente medio di un’azienda gestisce 191 password. Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi. Questa pessima abitudine rende possibile una tecnica di attacco conosciuta come “credential stuffing”: letteralmente “riempimento delle credenziali”, è l’iniezione automatica di username/password violate per accedere in modo fraudolento agli account degli utenti. Rientra nella più ampia categoria degli attacchi a forza bruta. Si tratta di una modalità di attacco che sfrutta l’enorme quantità di violazione dei dati che si sono verificati negli anni e che hanno generato molti database di credenziali rubate, facilmente reperibili nel dark web e si realizza in modo automatico utilizzando software come Shard (opensource e reperibile su GitHub).
Una corretta policy di password management aziendale non può prescindere dalla formazione degli utenti, che dovranno essere responsabilizzati su ciò che potrebbe essere causato dall’uso delle proprie password, se sottratte in qualsiasi modo. Non si può tuttavia chiedere all’utente di ricordare decine (o centinaia) di password che, oltretutto, dovranno essere: lunghe (almeno 12 caratteri), casuali e tutte diverse. In sintesi: impossibili da ricordare! Pare dunque un problema di difficile soluzione, ma in realtà ci vengono in aiuto i password manager, applicazioni per conservare tutte le nostre password in modo sicuro e – soprattutto – crittografato. E sono qualcosa di sostanzialmente diverso, in termini di sicurezza, rispetto al famigerato file di Excel o di Word nel quale molti utenti usano memorizzare tutte le proprie password.
Attualmente, i password manager rappresentano il miglior compromesso tra sicurezza e praticità. Sono infatti protetti da una master password, che serve per aprirli e diventa perciò l’unica password da ricordare. È utile quindi che un’azienda attenta ne consideri l’utilizzo, che dovrà essere esteso a tutti quei dipendenti che trattano dati e credenziali riservate. E non dimentichiamo che questa implementazione è utile anche per l’applicazione delle “misure tecniche e organizzative adeguate” prescritte dal GDPR.
Il mercato mette a disposizione delle aziende molte applicazioni password manager, ma dovremo scegliere con attenzione solo prodotti di fornitori seri. Tra le decine di gestori di password disponibili in rete si potrebbero trovare anche prodotti di dubbia reputazione, realizzati per rubarci le password.
I password manager affidabili utilizzano il metodo Zero-Knowledge encryption. Significa che i fornitori di password manager non conoscono le password che noi salviamo. Le criptano prima che possano essere memorizzate sui loro server. Segnaliamo qui i prodotti più conosciuti e che ci sentiamo di consigliare, sia per un uso privato che – soprattutto – aziendale: LastPass (di LogMeIn, azienda che realizza anche GoToWebinar); 1Password (di AgileBits), Dashlane. Sono applicazioni a pagamento (in genere con formule in abbonamento), disponibili sia in versione personale che aziendale. Le versioni aziendali (enterprise) permettono all’amministratore di sistema di avere il controllo di tutte le password aziendali e di distribuirle in modo granulare agli utenti. In questo modo, si fornisce a ciascun dipendente uno strumento adatto a gestire in sicurezza le password aziendali. Esistono anche ottimi prodotti gratuiti (open source). I più noti sono: KeePass e Bitwarden.
Giorgio Sbaraglia comitato scientifico CLUSIT
