“Le password sono le prime barriere che separano una persona, un cybercriminale e un attacco informatico riuscito. Uno degli errori più comuni che gli individui commettono è quello di riutilizzare lo stesso ID/indirizzo e-mail e la stessa password su più siti e dispositivi. La ripetizione delle password è ulteriormente amplificata dal volume crescente e dalle percentuali di successo che i cybercriminali stanno ottenendo con le campagne di phishing avanzato delle credenziali, utilizzando falsi siti web simili alla pagina di accesso di un servizio online legittimo per rubare nomi utente e password.
Il nostro consiglio è quello di utilizzare password diverse, soprattutto per gli account legati ad attività finanziarie e dati critici, e di attivare l’autenticazione a più fattori (MFA), se disponibile, per il maggior numero possibile di account. Nel caso in cui non si possa usare l’MFA, meglio puntare su un gestore di password, che le crea randomizzate memorizzandole in modo sicuro, crittografate e accessibili su tutti i dispositivi personali, riducendo l’onere di ricordare complicate credenziali di accesso su più siti. Nel caso si utilizzi una passphrase come parte della password, è importante non usare mai parole o frasi comuni, nomi o date associate a se stessi o alla propria famiglia. È inoltre consigliabile cambiare tutte le password due volte l’anno, quelle aziendali ogni tre mesi.
Poiché il 95% dei problemi di cybersecurity può essere ricondotto all’errore umano, è fondamentale che le aziende implementino un approccio alla sicurezza incentrato sulla persona, assicurandosi che sia i dipendenti remoti che quelli in ufficio ricevano formazione sulle best practice di cybersecurity di base, tra cui come identificare un tentativo di phishing delle credenziali e come gestire le password in modo sicuro.”
Ulteriori consigli per la creazione e gestione sicura delle password
- Utilizzare l’autenticazione a più fattori (MFA) per il maggior numero possibile di account. Alla base c’è l’utilizzo di due elementi distinti che convalidano l’identità prima di consentire l’accesso a un account, aumentandone così la protezione. Ad esempio, ricevendo un avviso sul telefono che richiede la conferma di accesso. Questo approccio vanifica i sistemi automatizzati che gli attori delle minacce utilizzano per indovinare le password o per inserire quelle rubate.
- Utilizzare un’applicazione sicura per la gestione delle password, in grado di richiamarne più d’una e inserirle automaticamente quando necessario. Affidarsi a un’applicazione di gestione delle password elimina la necessità di ricordare e destreggiarsi tra più password, rendendo gli utenti più inclini a utilizzarne dipiù sicure e lunghe.
- Per quanto riguarda la creazione delle password, è opportuno evitare parole, frasi, nomi e date comuni associate a sé o alla propria famiglia. I cybercriminali possono facilmente incrociare tutti i dati acquisiti su un individuo per arrivare alla combinazione corretta per accedere agli account. È consigliabile inoltre cambiare le password personali due volte l’anno ed evitare di riutilizzare le password sui vari account. Per quanto riguarda le password aziendali, si consiglia di cambiarle ogni 3 mesi e di adottare una policy di sistema automatizzata che preveda una scadenza per l’aggiornamento delle password, determinandone i requisiti ed eventualmente impendendo il riutilizzo di quelle recenti.
Luca Maiocchi, Country Manager, Proofpoint
