Giornata Mondiale della Password 2023, facciamo il punto su password e sicurezza

La Giornata Mondiale della Password, che si celebra in tutto il mondo il primo giovedì di maggio, ha lo scopo principale di ribadire l’importanza di proteggere i propri dispositivi e applicazioni con password adeguate ed invitare gli utenti di tutto il mondo a mettere in pratica misure di sicurezza necessarie per evitare che i criminali informatici possano accedere ad informazioni sensibili sfruttando password non sicure.

“Oggi sentiamo spesso parlare di autenticazione a più fattori, di biometrico, di token ma, seppur affiancate da sistemi più sofisticati, PIN e Password rimangono il metodo di autenticazione più comune: ci permettono di accedere al nostro computer, al nostro telefono, ai nostri preziosi profili social, ai diversi sistemi per fare acquisti, imparare e socializzare online e di proteggere le nostre foto in cloud da occhi indiscreti e di mantenere al sicuro ed inviolate le nostre informazioni più personali”, ha commentato Alessio Aceti, CEO e fondatore di Sababa Security.

Sarebbe più grave subire un furto in casa o un furto dei dati protetti dalle proprie password? Sicuramente, per la maggior parte delle persone, è più grave il secondo caso. A casa, a parte per chi possiede oggetti di grande valore o grosse somme di denaro, generalmente si rischia che vengano rubati oggetti di uso comune come TV, macchine del caffè, biciclette, ma online? On line potrebbero sottrarre denaro da un conto corrente, pubblicare foto “imbarazzanti” che potrebbero mettere a rischio la reputazione, leggere i messaggi WhatsApp e pubblicare su Instagram foto non desiderate: potenzialmente un disastro sia dal punto di vista personale che lavorativo.

“Ma allora perché mettiamo a casa serrature moderne con “scheda chip”, porte blindate, telecamere, domotica, controllo accessi e sul telefonino o sul profilo social mettiamo una password con la data di nascita, il nome del gatto o dei fidanzati?”, continua Aceti.

È, infatti, importante che le password siano efficaci, perché la loro forza è assicurata solo se sono difficili da indovinare o strettamente confidenziali e private. Allo stesso tempo, però, il numero di applicazioni che le richiedono è in costante aumento e ricordarsi ogni singola password complessa può diventare confusionario, soprattutto quando all’utente viene richiesto di cambiarla spesso.

Modificare e ideare nuove password è una vera e propria sfida per gli utenti, che a volte preferiscono utilizzarne una uguale per tutti i propri dispositivi e applicazioni, rischiando così di mettere a rischio la propria incolumità informatica e quella dell’azienda in cui si lavora.

Una soluzione alternativa sono i password manager

Un password manager è sicuramente uno strumento indispensabile e per sua natura estremamente sicuro; un deciso passo avanti rispetto a un semplice foglio Excel, documento Word o alla vecchia agenda.

Il PM consente infatti di memorizzare tante password diverse, una specifica per ogni account. Si possono memorizzare password molto lunghe, complesse ed articolate. Come per tutte le cose, ci sono strumenti più affidabili e strumenti meno affidabili. I Password Manager sono di fatto software che memorizzano in un database le password associate ai singoli account. Questo database è cifrato con degli algoritmi di cifratura che proteggono le password stesse che vengono gestite. Ci sono due aspetti importanti da considerare:

• Se l’algoritmo di cifratura del database del Password Manager non è sufficientemente avanzato, anche il Password Manager può essere compromesso, come tutti gli altri software.
• Ci sono dei PM che sono venduti come software chiusi, quindi, applicazioni che l’utente acquista senza sapere cosa “contengono”. Si potrebbe quindi avere il dubbio di affidare le proprie password a qualcuno che magari non ha un livello di sicurezza così elevato.

Quindi, come scegliere il PM? Un criterio può essere la nomea dell’azienda che lo realizza. Un altro importante aspetto da considerare nella scelta è che ci sono PM estremamente validi ed affidabili che sono open source, ovvero il cui codice sorgente è pubblico e quindi valutabile. Si può fare per esempio un assessment per verificare che il PM non contenga o non faccia cose al di là di quello che viene dichiarato e che quindi sono per definizione più affidabili. Ce ne sono tanti con criteri di cifratura molto alti, criteri di sicurezza altrettanto elevati e policy di tutela della privacy molto forti.

“Possono essere la soluzione alla creazione delle password?”, si chiede Omar Morando, CTO di Sababa Security. “Sì, perché prevedono dei criteri di creazione delle password che possono essere molto sofisticati e creano password anche molto sicure. Il loro utilizzo è molto diffuso e stanno fortunatamente crescendo sempre di più. Sicuramente anche i PM, trattandosi un’applicazione software, nonché essendo una cassaforte ricca di tesori, sono spesso presi di mira. Riuscire a rubare l’accesso ad un PM vuol dire avere accesso a tutte le password di tutti gli account di una persona”, conclude Morando.

“La scarsa attenzione nella gestione delle password anche nelle aziende rientra nei rischi legati al “fattore umano”. La scelta di password deboli, l’uso della stessa password per applicazioni personali e di ufficio, i mancati aggiornamenti rendono vulnerabili anche le aziende che magari si sono dotate di avanzate soluzioni di sicurezza”, conclude Aceti.

Sababa Security S.p.A., primario operatore italiano nel settore della cyber security, fornisce tra i propri servizi Sababa Awareness, una piattaforma che, grazie ad un approccio integrato, aumenta la consapevolezza dei dipendenti in materia di sicurezza informatica. Sababa Awareness è una piattaforma di formazione in cloud progettata per aiutare le aziende ad acquisire e far rispettare competenze in materia di cyber security senza impattare sulle normali attività lavorative. Le lezioni, brevi e coinvolgenti, trasmettono nozioni attraverso esempi reali ed affrontano un’ampia gamma di argomenti, dai più generici ai più specifici per i diversi ruoli ed esigenze.