di Sean Duca, VP, Regional Chief Security Officer Asia Pacific di Palo Alto Networks

Recentemente, in un articolo apparso sul Wall Street Journal, Bill Burr, autore di un libro sulla gestione delle password, ha ammesso che in una strategia di risk management adeguata le password non sono più valide come protezione di base. Nel report del 2003, Burr raccomandava di utilizzare numeri, caratteri speciali e lettere maiuscole, e di aggiornarle regolarmente per aumentare il livello di sicurezza. Ma oggi, nell’articolo, ha affermato di essersi sbagliato e si è scusato per l’errore. Grazie, Bill. Nonostante la sua confessione, le password ricoprono comunque un ruolo importante nella sicurezza, ma non sono sufficienti da sole.

Un membro del consiglio di amministrazione di una azienda, o di più di una, sarà decisamente impegnato. Forse così tanto da non poter gestire in modo accurato le varie password utilizzate su una miriade di siti e applicazioni. Per questo, c’è la tendenza a usare la stessa password, o chiavi molto simili tra loro, su più di un sito. In questo caso, se la password fosse l’unico strumento di autenticazione, potrebbe mettere in pericolo l’organizzazione, e il manager stesso, ed esporli a furti di identità e violazioni di dati dannose.

Il concetto di password come prima, e spesso unica, linea di difesa è ormai obsoleto. Le password hanno un ruolo, ma non dovrebbero essere usate da sole. Sono nate più di 20 anni fa, quando Internet ha iniziato a prendere piede e le email sono diventate il principale mezzo di comunicazione personale e di business. È impressionante, perché non sono poi così numerose le tecnologie sviluppate 20 anni fa oggi ancora importanti. Tuttavia, il cybercrimine sta diventando sempre più sofisticato e pericoloso. Perché dovremmo aspettarci che una soluzione sviluppata 20 anni fa sia ancora efficace nel 2018?

Chi ricopre una carica manageriale elevata è a rischio di attacchi basati su credenziali. I cybercriminali partono spesso dall’idea che non siano stati messi in campo livelli di sicurezza adeguati, e in molti casi hanno ragione. Se viene rubata una password utilizzata su più siti, è necessario fare molta attenzione. Informazioni personali, tra cui conti bancari e portfolio di investimenti, potrebbero essere a rischio.

Cosa fare quindi?
Come prima cosa, non bisogna fare affidamento sulle password come unica linea di difesa. Sarebbe opportuno impostare almeno un’autenticazione a due fattori, o, ancora meglio, multi-fattore, che può essere considerata su tre livelli: “qualcosa che sai”, “qualcosa che sei” e “qualcosa che hai”. La password rientra nella categoria “qualcosa che sai” e, dato che continueremo a utilizzarle come uno dei metodi di protezione, è importante gestirle in modo accurato e non utilizzare sempre le stesse parole e caratteri. 

La biometria è diventata un metodo molto utilizzato per l’autenticazione nella categoria “qualcosa che sei”. Se si possiede un iPhone, si può utilizzare Face ID o Touch ID, semplici e molto comuni. Spesso, l’autenticazione a due fattori – password e biometria – potrebbe essere sufficiente, ma le best practice si stanno indirizzando verso quella multi-fattore, che includono anche “qualcosa che si ha”, come per esempio un token di sicurezza.

I top manager o i senior executive devono sempre fare attenzione. Se in azienda vengono richieste solo password, è importante segnalare il problema e, se necessario, rifiutarsi di utilizzare piattaforme ritenute potenzialmente pericolose. Se manager dello stesso livello considerano la protezione un problema, è probabile che i team di sicurezza desiderino effettuare le adeguate modifiche.

La cybersicurezza è forte quanto il suo anello debole e nessuno vuole essere l’anello debole. È importante essere certi di avere autenticazioni di protezione oltre alle password e sarebbe opportuno che quella a due fattori o multi-fattore diventasse uno standard aziendale. I rischi sono troppo grandi per ignorarli.

PassWord123$$ non è più sufficiente.