Le password sono ancora la strategia più comune per proteggere gli account aziendali? Un sondaggio Pulse sulla sicurezza delle password rivela che il 38% degli intervistati utilizza quotidianamente dai 4 ai 6 account protetti da password e che nel 49% dei casi i team IT risolvono in media 9 problemi legati alle password ogni giorno. La maggioranza riconosce che questo aspetto è stato esacerbato dal telelavoro adottato negli ultimi mesi a causa della pandemia. La cosa sorprendente in questi casi è che, sebbene sia consapevole di queste difficoltà, solo il 38% offre ai propri dipendenti una formazione annuale sulla protezione delle password.
Inoltre, il 91% ritiene che gli ulteriori livelli di sicurezza siano frustanti per gli utenti finali. Non è che le aziende non conoscano l’utilità di strumenti come i tool di gestione delle password (il 32% dichiara di farne uso); piuttosto, si lamentano che gli utenti di questi strumenti non li considerino intuitivi o facili da usare, poiché per accedervi richiedono l’autenticazione manuale.
È preoccupante che, pur sapendo quanto sia importante proteggere le password, le organizzazioni non implementino soluzioni di sicurezza tanto quanto dovrebbero per svariati motivi, tra cui la difficoltà di utilizzo per i dipendenti e gli utenti. Grazie ai trojan keylogger o a strumenti come Mimikatz, i criminali informatici riescono a violare anche le password più complesse. Gli utenti tendono a usare non più di 2-5 password diverse, che a volte sono note anche ad altri membri della famiglia, ad esempio quando si condividono abbonamenti a servizi di streaming o altre piattaforme. Spesso, inoltre, rischiano di essere intercettate mediante tecniche di social engineering come il phishing.
In caso di violazione dei dati, molte credenziali finiscono anche sul dark web, dove rimangono visibili e possono essere sfruttate con intenti dolosi finché l’organizzazione non si rende conto dell’accaduto.
Alla luce di ciò, è fondamentale che le aziende adottino soluzioni di autenticazione a più fattori (MFA). Le soluzioni di autenticazione a più fattori senza password esistono, ma vantano una scarsa flessibilità e sono molto specifiche per alcune funzioni (ad esempio, l’accesso al computer), quindi la maggior parte dei siti web e servizi ancora non le supporta. Quelli che le supportano il più delle volte richiedono una password di accompagnamento, come nel caso delle app di home banking, che in un primo momento permettono all’utente di autenticarsi sul cellulare con il riconoscimento facciale, ma gli chiedono comunque di inserire una password.
Ecco perché in molti casi la soluzione migliore per le organizzazioni è implementare soluzioni MFA con notifiche push. Se un hacker riesce ad acquisire delle credenziali valide e tenta di accedere all’account, l’utente legittimo riceve una notifica push (che di solito include i dati di riferimento come la posizione geografica in cui è stato effettuato il tentativo) in cui gli viene richiesto di confermare l’accesso. Se l’utente la ignora o non dà il proprio consenso, l’autore della minaccia rimane bloccato. Questa soluzione offre anche un altro importante vantaggio: informa l’utente legittimo che la password è stata ottenuta senza il suo consenso o è stata esposta al dark web, permettendogli così di modificarla velocemente. È bene ricordare che, per implementare la MFA, è imprescindibile fornire agli utenti una formazione adeguata, affinché capiscano e imparino che il messaggio push va sempre letto prima di autorizzare o negare l’accesso, evitando i cosiddetti clic facili.
Chi utilizza regolarmente password temporanee (OTP) corre comunque il rischio che l’hacker riesca a clonare il cellulare, sfruttando una qualche applicazione RAT e creando un clone del token mobile con il rispettivo seed. Per questi casi specifici, esiste una funzionalità di protezione MFA aggiuntiva, che non solo verifica il numero di telefono, ma controlla anche se il dispositivo ricevente è quello legittimo, attraverso un algoritmo di crittografia/hash specificamente collegato all’hardware del dispositivo precedentemente registrato, come se fosse un DNA mobile. Tale tecnica riduce notevolmente il rischio numero uno per le aziende alla base della loro vulnerabilità agli accessi non autorizzati: le credenziali dei dipendenti.