Ogni anno, il primo giovedì di maggio, si celebra la Giornata mondiale della password, spesso un po' deprimente per gli esperti di sicurezza. Nonostante anni di avvertimenti, violazioni di dati e campagne di sensibilizzazione sulla sicurezza informatica, molte persone si affidano ancora a password deboli, prevedibili e riutilizzate.

Il messaggio non arriva

Le password più comunemente utilizzate sono cambiate a malapena in più di un decennio. Varianti di "123456", "password", "qwerty" e altre combinazioni facilmente indovinabili continuano a comparire in cima agli elenchi globali anno dopo anno. Mentre la tecnologia è progredita rapidamente, le abitudini in materia di password spesso non lo hanno fatto.

Per i criminali informatici, questo crea una facile via d'accesso agli account personali e aziendali. Gli aggressori sanno che molti utenti scelgono ancora la convenienza rispetto alla sicurezza e sfruttano attivamente questo comportamento attraverso il riempimento delle credenziali, gli attacchi brute-force e le campagne di phishing.

Il pericolo delle password deboli e riutilizzate

Una password debole è già abbastanza grave. Una password riutilizzata è spesso peggiore.

Quando un sito web subisce una violazione, i nomi utente e le password rubati vengono rapidamente testati in tutte le piattaforme bancarie, di posta elettronica, di cloud storage e di lavoro. Se la stessa password è stata riutilizzata, una singola violazione può sbloccare più account.

Per le organizzazioni, le password riutilizzate possono portare alla compromissione degli account Microsoft 365, all'accesso VPN esposto, alla compromissione della posta elettronica aziendale e all'accesso non autorizzato a dati sensibili. In molti casi, gli aggressori non hanno bisogno di malware sofisticato. È sufficiente che accedano con credenziali valide.

Noi di Integrity360 vediamo regolarmente che gli attacchi basati sull'identità rimangono uno dei modi più rapidi ed efficaci per ottenere l'accesso da parte degli attori delle minacce. Mentre le aziende migliorano le difese perimetrali, i criminali prendono sempre più di mira gli utenti, le credenziali e le debolezze di autenticazione.

Perché le password rimangono un problema

Le password attribuiscono una responsabilità eccessiva agli utenti. Le persone devono creare decine di combinazioni uniche e complesse, ricordarle, aggiornarle ed evitare di scriverle.

Questo spesso porta a un comportamento familiare:

• Scegliere password brevi o memorabili
• riutilizzare la stessa password per più servizi
• apportare solo modifiche minime quando viene richiesto di reimpostare la password
• Memorizzare le password in modo insicuro in appunti o fogli di calcolo.

Anche quando le organizzazioni applicano le politiche sulle password, spesso vengono ignorate o aggirate.

La svolta dell'NCSC verso le passkey

Recentemente il National Cyber Security Centre (NCSC) del Regno Unito ha esortato le persone ad abbandonare le password a favore dei passepartout, laddove disponibili, definendolo un cambiamento importante nelle pratiche di sicurezza di vecchia data.

I passkeys sono una nuova forma di autenticazione che elimina del tutto la necessità di ricordare le password. Invece di affidarsi a un segreto condiviso, utilizzano la crittografia a chiave pubblica. Una chiave rimane al sicuro sul dispositivo dell'utente, mentre la chiave pubblica corrispondente viene memorizzata dal servizio a cui si accede.

In pratica, gli utenti spesso effettuano l'accesso utilizzando qualcosa di già integrato nel loro dispositivo, come Face ID, il riconoscimento delle impronte digitali o un PIN.

Non dovendo digitare alcuna password, le passkey possono ridurre significativamente il rischio di phishing, furto di password e riutilizzo delle credenziali. Ogni passkey è unico per il sito web o l'app per cui è stato creato, rendendo molto più difficile per gli aggressori sfruttarlo su più servizi.

L'NCSC ha descritto i passkeys come un'opzione più facile da usare che può anche migliorare la resilienza complessiva.

I passkeys non sono la risposta completa

I passkeys sono un'alternativa, ma non tutte le piattaforme li supportano ancora. Gli utenti possono avere problemi di recupero se perdono l'accesso ai dispositivi. Le organizzazioni hanno bisogno di processi chiari per l'iscrizione, la gestione dei dispositivi e il recupero degli account.

Ciò significa che le aziende dovrebbero considerare i passkeys come parte di una più ampia strategia di sicurezza dell'identità, piuttosto che come una soluzione a sé stante.

L'intuizione di Integrity360: l'identità è la nuova linea del fronte

Integrity360 consiglia alle organizzazioni di considerare l'autenticazione come un controllo di sicurezza critico. Sia che si utilizzino password, passepartout o un mix di entrambi, l'obiettivo deve essere la riduzione del rischio di identità.

Ciò include:

• Abilitare l'autenticazione a più fattori in tutti i servizi critici.
• Implementazione di gestori di password per gli utenti per i quali le password sono ancora necessarie.
• Monitoraggio delle credenziali compromesse sul dark web.
• Rilevare comportamenti di login sospetti attraverso i servizi MDR e SOC.
• Implementazione di passkeys laddove supportate
• Formazione degli utenti per il riconoscimento dei tentativi di phishing

Il futuro sarà probabilmente senza password, ma la maggior parte delle organizzazioni si trova ancora in una fase di transizione. Durante questo periodo, gli aggressori continueranno a puntare alle credenziali deboli, ovunque le trovino. Se le vostre password sono ancora semplici, riutilizzate o invariate da anni, è il momento di agire. Password uniche e forti, MFA e passkey possono ridurre drasticamente il rischio.

Le password non scompariranno da un giorno all'altro, ma il loro dominio sta finendo. Le organizzazioni e gli individui che si modernizzano per tempo avranno una posizione migliore per rimanere al sicuro.

Avete bisogno di aiuto per la vostra sicurezza informatica? Contattate i nostri esperti oggi stesso.