Le aziende che prendono sul serio la sicurezza informatica stanno abbandonando le password per sostituirle con una combinazione di dati biometrici e doppia chiave di autorizzazione.
Un recente studio sull’uso delle password e sulla cybersicurezza ha rilevato lo stesso risultato di molti studi precedenti: le persone continuano a usare password del tipo “012345678”, “password” o “qwerty123”. La differenza tra questo studio e gli altri non sta nelle conclusioni, ma nel target: questa volta gli autori dello studio hanno limitato il campione, invece che agli utenti in generale, ai dirigenti d’azienda.
Perché un manager, che si suppone abbia un minimo di formazione e di responsabilità, dovrebbe usare una password così semplice che un bambino piccolo, per non parlare di un criminale, potrebbe scoprire in pochi secondi?
La domanda è importante, visto che gli attacchi informatici contro le aziende stanno diventando la norma. I criminali informatici setacciano gli elenchi di aziende di tutte le dimensioni alla ricerca di vittime, per poi adattare la richiesta di riscatto in base al loro fatturato. Accedendo a un nome utente, facilmente ricavabile dal nome di un manager, e indovinando una password, i criminali sono dentro e possono fare ciò che vogliono.
Naturalmente esistono approcci più sofisticati, ma spesso è così semplice. Perché? Perché ci sono ancora sprovveduti che usano come password “12345678” o “password” o “qwerty123” e il cui licenziamento sarebbe perfettamente giustificato. Lo stesso vale per un dipendente che ha lasciato le luci accese, non ha chiuso i locali e non ha inserito l’allarme.
Gli assicuratori sono sempre più preoccupati: le aziende chiedono sempre più protezione, anche quando non adottano nemmeno le misure più elementari per proteggersi dai cyber attacchi piuttosto che concentrarsi sui giochi bonus NetBet dovrebbero pensare ad altro.
Infatti, gli assicuratori stanno aumentando le tariffe per cercare di coprirsi da sinistri più frequenti e di maggiore entità. Ma ovviamente questa non è la soluzione.
Presto inizieremo a vedere gli assicuratori rifiutarsi di assicurare le aziende che non hanno superato i test di penetrazione esterni condotti da aziende terze, che impiegano hacker di tutto il mondo per cercare di trovare vulnerabilità nei loro clienti.
Purtroppo, la maggior parte delle aziende è ancora alla preistoria della sicurezza e continua a chiedere ai propri dipendenti di cambiare la password molto spesso, di sceglierne una che contenga ogni sorta di caratteri strani o che sia semplicemente diversa da quelle precedenti.
Queste aziende si rendono conto di ciò che chiedono ai loro dipendenti? Se si dice a qualcuno di creare una password complessa e di cambiarla ogni tot anni, cosa è più probabile che faccia?
Nella migliore delle ipotesi, cercare regole mnemoniche di base per ricordarla. Nel peggiore dei casi, scriverla su un post-it e attaccarla allo schermo… o semplicemente impostare la password più facile da ricordare che gli viene in mente.
La soluzione è utilizzare un gestore di password o password manager, possibilmente con licenza aziendale.
In questo modo, la responsabilità della manutenzione e della modifica delle password passa dai dipendenti all’azienda e può essere svolta in modo più professionale.
I gestori di password sono molto facili da usare: i dipendenti devono semplicemente inserire periodicamente una richiesta di modifica nella loro app. Sono finiti i tempi in cui si dovevano ricordare le password!
Le aziende che prendono sul serio la sicurezza informatica stanno abbandonando le password e le sostituiscono con una combinazione di dati biometrici e doppia chiave di autorizzazione. Dopo l’autenticazione su un nuovo dispositivo o ambiente, si riceve una chiave in un’app di autenticazione sullo smartphone, e si deve inserire anche quella.
L’uso di un’app di autenticazione a due fattori è così semplice e discreto che dovremmo usarla per tutti i servizi.
Al giorno d’oggi, con così tanti gruppi di criminali informatici in cerca di vittime, sviluppare una cultura della sicurezza informatica è più importante che mai.
Purtroppo, molte aziende non prendono ancora sul serio la sicurezza informatica e assillano i propri dipendenti con richieste stupide che non servono a nulla o addirittura riducono i livelli di sicurezza. È tempo di ripensare queste pratiche e, soprattutto, di educare le persone all’importanza dell’argomento, raggiungendo l’intera organizzazione: dal CEO all’ultimo dipendente.
