Giornata internazionale

World Password Day: serve più consapevolezza di sicurezza digitale

Oggi è la giornata internazionale della password, il World Password Day, una ricorrenza che in passato ha contribuito a irrobustire la consapevolezza dell’importanza della cyber security. Ora rischia di sembrare una celebrazione anacronistica. Clusit preferirebbe un “Secure Authentication Day”

05 Mag 2022
C
Mirella Castigli

Giornalista

Oggi nel mondo celebriamo il World Password Day, la giornata internazionale della password.

Questa ricorrenza in passato ha fortemente concorso a fortificare la consapevolezza dell’importanza della cyber security. Ora, nell’era passwordless, rischia di sembrare una celebrazione anacronistica, quasi obsoleta.

Infatti il Clusit, l’Associazione Italiana per la Sicurezza Informatica, preferirebbe che venisse istituito un “Secure Authentication Day“.

Tuttavia, proprio l’aumento di attacchi cyber, info stealer e ransomware dimostra che nell’ecosistema digitale serve maggiore consapevolezza di sicurezza digitale.

“Ancora ci sono troppi utilizzi non congrui del sistema delle password”, commenta Gabriele Faggioli, responsabile scientifico Osservatorio Cybersecurity & Data Protection Politecnico di Milano, “quindi, considerando la conoscenza attuale dei rischi sottesi, è incredibile che ancora oggi molte persone abbiano una modalità un po’ leggera: è pericoloso”.

“Recenti rapporti confermano che gli italiani sono sempre più connessi, ciò significa che continuano ad aumentare i servizi da loro utilizzati e che richiedono di autenticarsi a mezzo password”, aggiunge Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “la gestione delle password è quindi un aspetto cruciale per proteggere la nostra identità digitale, identità che si sovrappone sempre più a quella delle nostre vite reali”.

Password manager: cosa sono, i 10 migliori del 2021, come usarli e perché

World Password Day: serve più consapevolezza

Nel 2013 Intel istituì la giornata mondiale della password con lo scopo di rafforzare la consapevolezza della sicurezza digitale. Ancora oggi sappiamo che difficilmente gli esseri umani gestiscono adeguatamente le password: d’altronde, quella più popolare in Italia e a livello globale è ancora “123456”.

WEBINAR
16 Giugno 2022 - 12:00
Threat intelligence e Cyber Security: ecco le nuove strategie per prevenire gli attacchi
CIO
Networking

Dunque, il World Password Day, anche nell’era passwordless, ha ancora senso. Infatti un cyber criminale impiega meno di un secondo per decriptare password così banali, ma diffuse.

Ripassiamo le regole

“Cattive abitudini come l’utilizzo di password deboli e facili da scoprire”, continua Paganini, “così come l’utilizzo della medesima password per più servizi aumenta in maniera drammatica la superficie di attacco e ci espone a seri rischi, dal furto d’identità a frodi finanziarie”.

“Dobbiamo approfittare di iniziative come questa per diffondere cultura sull’argomento, evitando che la festa del #WorldPasswordDay diventi motivo di giubilo esclusivo per i criminali pronti a sfruttare la nostra ignoranza e le nostre cattive abitudini in tema gestione password”, conclude Paganini.

La buona pratica è di non scegliere password prevedibili. Infatti, è sconsigliato usare il proprio nickname, la data di nascita o il nome del proprio animale domestico. Inoltre stratagemmi come ad esempio sostituire la “a” con una semplice @ non è affatto garanzia di una password a prova di cyber crime.

Conviene prediligere parole molte lunghe e complesse, di almeno 14 caratteri, alternando caratteri speciali a lettere e numeri. Ad ogni account è necessario la password dedicata, in modo da evitare che il malintenzionato, che riesca ad indovinare la password, tenti di riutilizzarla per accedere ai diversi account. La regola è dunque quella di selezionare una password diversa per ogni account.

Un password manager è utile per generare automaticamente password stravaganti e complesse, mescolando tutti i TiP! DI Ch*r@ctter!, da ricordare in modalità sicura. Inoltre, i password manager hanno il vantaggio di non riconoscere i siti web in base alla grafica, ma sono in base all’Url corretto. Anche se i criminali clonano il sito web, il password manager non cadrà mai nella trappola. In caso di dubbi, bisogna evitare di inserire password in siti o piattaforme che non siano del tutto affidabili.

Infine, “oggi è fortemente consigliabile l’utilizzo di generatori di password randomiche e complesse salvate in una password chain, ovvero una cassaforte cifrata utilizzata come contenitore di tutte le password generate e, per evitare il ‘single point of failure, ovvero un possibile data leak del contenuto della ‘cassaforte’ si deve utilizzare un secondo fattore di autenticazione (2FA), preferibilmente attraverso APP e non attraverso SMS, per ridurre il rischio dello SIM Swapping (la sostituzione o duplicazione fraudolenta della Sim Card)”, conclude Marco Ramilli, Ceo di Yoroi (Tinexta Group).

Clusit: meglio il Secure Authentication Day

Negli anni passati il World Password Day ha svolto un ruolo significativo e ha acceso un faro sull’importanza della consapevolezza della sicirezza informatica. Tuttavia oggi rischia di apparire anacronistica, secondo gli esperti del Clusit. L’Associazione Italiana per la sicurezza informatica auspicherebbe dunque che venisse istituito un “Secure Authentication Day“. Infatti, “se fosse la giornata per creare consapevolezza sui rischi delle automobili”, commenta Alessio Pennasilico, membro del Comitato Scientifico Clusit, “il World Password Day sarebbe oggi equivalente a celebrare i finimenti dei cavalli medievali”.

Questa giornata “aveva un significato quando gli strumenti tecnologici non permettevano a chiunque di adottare altre modalità di autenticazione”, continua Pennasilico. A distanza di nove anni dal primo World Password Day, la multifactor authentication tramite app o la biometria assicurano un’efficacia senza paragoni rispetto al vecchio concetto di password. Nel 2022, dunque, “la sua istituzione è doveroso un cambio di prospettiva, sulla base dello scenario attuale, con buona pace di chi spera ancora che le password possano proteggere i nostri dati”.

Gli esperti di Clusit lanciano una provocazione. Vorrebbero intitolare una giornata alla Secure Authentication, al fine di aumentare la consapevolezza, a tutti i livelli e nella maniera più efficace, per garantire la sicurezza degli accessi.

“Oggi però è vero che conosciamo tutte le regole per creare password forti e complesse”, continua commenta Gabriele Faggioli, “ma la verità è che la tecnologia deve essere alla portata di tutti: è giusto allargare il discorso a un concetto di autenticazione più ampio, ma dobbiamo spingere verso tecnologie più sicure ma anche più semplici d’uso, senza pretendere titanici sforzi di memoria. Infatti c’è chi si segna le password sui post-it visibili a tutti o su fogli volanti”.

“Inoltre,  il vero rischio è che, una volta che creiamo una password forte complessa, la usiamo per tutti i servizi”, non essendo nessuno di noi Pico della Mirandola, ma ciò fa correre rischi ancora peggiori: “Fa parte invece dell’evoluzione tecnologica”, conclude Faggioli, “un’evoluzione delle tecniche di sicurezza. Le password infatti resteranno ancora a lungo nell’utilizzo quotidiano delle persone, bisogna dunque prendere consapevolezza dei rischi sottostanti una cattiva gestione delle password. Per concludere, noi utenti dobbiamo imparare a stare più attenti online”.

Consigli per le aziende

OpenText ha elencato alcuni preziosi suggerimenti dedicati alle aziende. Ecco cosa fare per una corretta implementazione delle policy di sicurezza:

  • mettere gli utenti alla prova;
  • sfruttare le API per non usare password compromesse;
  • impostare requisiti di lunghezza minima;
  • l’intelligenza umana batte quella artificiale.

Ecco come mettere in pratica questi utili raccomandazioni. La teoria è importante, ma ancora di più lo è metterla in pratica.

Sarebbe utile fare simulazioni di attacchi di phishing inaspettati, per verificare il livello di preparazione dei dipendenti e intervenire con una formazione mirata laddove è necessario. Impostare una password sicura può non essere così facile, come abbiamo visto.

Per orientare gli utenti aziendali, è inoltre possibile integrare API in grado di verificare se la password creata sia già stata compromessa in passato, spingendoli nel caso a sceglierne un’altra davvero unica.

Ciò che rende una password veramente performante è poi la sua lunghezza. Non serve che sia casuale la combinazione che la compone: maggiore è il numero di caratteri, superiore è la sicurezza. Le password da 8 caratteri sono invece esposte a violazioni e quindi occorre per i dipartimenti IT aumentare il numero di caratteri minimi da utilizzare per gli account aziendali.

Per seguire i requisiti minimi in termini di lunghezza, infine, conviene invitare gli utenti a ricorrere non solo a lettere, numeri o caratteri speciali, ma a vere e proprie espressioni complesse: gli esseri umani, infatti, sono in grado di ricordare frasi lunghe.

L’era passwordless non vuol dire minore consapevolezza

Le password costituiscono tuttora un anello debole nei sistemi di tutela e cyber difesa.

Dunque, le imprese dovrebbero non solo aumentare la consapevolezza a tutti i livelli (anche per prevenire il Social Engineering), ma anche promuovere un ecosistema che semplifichi la gestione delle credenziali di accesso e consenta una loro progressiva sostituzione con i sistemi passwordless più efficienti come la multifactor authentication tramite app o la biometria.

Ma ricordiamoci che l’era passwordless non vuol dire minore consapevolezza, perché l’anello debole rimarrà sempre il fattore umano.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5