Nonostante l’esistenza di soluzioni sempre più innovative per proteggere i dati, le password sicure rimangono il primo e fondamentale baluardo della sicurezza in azienda. In questa breve guida, abbiamo unito pratiche e strumenti necessari a rafforzare la sicurezza digitale.
L’importanza delle password aziendali
Sebbene le soluzioni passwordless, come l’autenticazione biometrica, stiano guadagnando terreno, la maggior parte dei sistemi aziendali richiede l’autenticazione tramite credenziali. Le password sono la prima barriera contro accessi non autorizzati e, a livello organizzativo, facilitano notevolmente la gestione dei permessi per dipendenti o l’uso delle risorse aziendali.
Minacce informatiche in continua evoluzione
Molte delle violazioni di sicurezza registrate negli ultimi anni derivano da esfiltrazioni di credenziali e si accompagnano a tecniche di credential stuffing (accesso a più applicazioni) che insieme al phishing e agli attacchi brute force, consentono ai cybercriminali di accedere a sistemi sensibili.
Secondo il Data Breach Investigations Report 2024 di Verizon, l’80% delle violazioni riguarda credenziali compromesse. Un esempio di come i dati sottratti vengono utilizzati sono le combo list, una raccolta di credenziali rubate e vendute su canali del dark web e Telegram.
Le password come prima linea di difesa
Per l’Agenzia per la cybersicurezza nazionale (ACN), utilizzare password complesse e sicure è ancora uno dei metodi più efficaci per ridurre le vulnerabilità. Nonostante la diffusione di tecnologie avanzate come l’autenticazione multifattoriale (MFA), la gestione delle password rimane centrale.
Le conseguenze di una violazione dei dati aziendali
Quando una password viene compromessa vengono sottratti dati di clienti o partner e si bloccano le attività lavorative. Per il Regolamento sulla protezione dei dati, il GDPR, la mancata protezione delle informazioni di clienti e dipendenti può comportare pesanti sanzioni e azioni legali che amplificano la pressione finanziaria e reputazionale dell’azienda. Altra grave conseguenza è legata alla proprietà intellettuale con la violazione di documenti e progetti. Un danno finanziario a cui si aggiunge la perdita del vantaggio competitivo.
Creare password aziendali sicure: i principi base
Il primo passo è adottare alcune best practices:
Evitare password comuni e facilmente intuibili
Password come “123456” o “admin” sono ancora tra le più utilizzate ma anche tra le più rischiose per l’enorme vulnerabilità che rappresentano.
Nella compilazione di una password vanno, dunque, evitati i caratteri ripetitivi o sequenziali come “aaaaaa” o “1234abcd”, tutte le parole troppo legate al contesto, come il nome dell’azienda o del servizio, quello dell’utente e le relative derivazioni. Non bisogna reimpostare password già precedentemente violate. Ma soprattutto, le aziende devono implementare policy e utilizzare strumenti di controllo, come i test, che incoraggiano l’uso di password più robuste.
Utilizzare combinazioni complesse di caratteri
Le principali linee guida sono concordi nel raccomandare password di almeno 12 caratteri che includano un mix di lettere maiuscole e minuscole, numeri e simboli speciali. Questa complessità riduce drasticamente la probabilità di decifrare la password tramite attacchi automatizzati.
Sempre più utilizzate sono, invece, le passphrase, parole casuali messe insieme per creare una frase sostituendo, poi, alcune lettere con numeri e simboli per avere maggiore complessità.
Implementare password univoche per ogni account
Riutilizzare le stesse credenziali su più piattaforme espone l’azienda al rischio di violazioni multiple: se una password viene compromessa, gli attaccanti possono accedere ai diversi sistemi collegati. Inoltre, nonostante sembri scontato, le password non dovrebbero mai essere condivise altrove o trascritte su carta.
Tool per la gestione sicura delle password aziendali
Sul mercato esistono molti programmi e app che ottimizzano l’uso di password e automatizzano la loro creazione.
Password manager: archiviazione e accesso centralizzati
I password manager funzionano come una cassaforte virtuale (vault), protetta da una master password che consente di accedere. L’archiviazione delle password basata su cloud consente di salvare e gestire le password tramite un’interfaccia Web o mobile. Questi password manager permettono la sincronizzazione su più dispositivi. Offrono funzionalità di crittografia end-to-end, rilevamento delle password compromesse e gestione centralizzata delle credenziali.
I password manager sul desktop, invece, memorizzano le credenziali localmente per una maggiore sicurezza offline ma richiedono la gestione manuale per la sincronizzazione. Quelli basati su browser memorizzano e compilano automaticamente le credenziali ma hanno meno funzionalità e sono considerati meno sicuri.
Generatori di password: creazione di password univoche e complesse
I gestori di password utilizzano algoritmi pseudo-casuali per creare combinazioni uniche di caratteri, incluse lettere maiuscole e minuscole, numeri e simboli, rendendo le password difficili da decifrare. Alcuni permettono la personalizzazione: si può scegliere la lunghezza e il tipo di caratteri in base ai requisiti di sicurezza aziendali. Questi generatori aiutano a evitare password deboli e il riutilizzo delle stesse credenziali su più account.
Strumenti di monitoraggio e auditing: identificazione e rimedio delle password deboli
Molte soluzioni in commercio consentono di implementare politiche di sicurezza più rigorose, bloccando automaticamente l’uso di password non conformi agli standard. Alcune piattaforme forniscono report di audit dettagliati per tracciare l’adozione delle policy delle password e verificare la conformità alle normative di sicurezza.
Rafforzare la sicurezza informatica aziendale: oltre le password
Le password rappresentano solo una parte della strategia di sicurezza aziendale.
Formazione e sensibilizzazione dei dipendenti
Anche con i migliori strumenti tecnologici, i dipendenti rimangono l’anello debole della catena di sicurezza. Le aziende devono investire in programmi di formazione e effettuare simulazioni di attacchi informatici e test di penetrazione specifici per trasmettere nozioni e consapevolezza ai dipendenti.
Implementazione di politiche di sicurezza IT robuste
Le Linee Guida dell’Agenzia per la Cybersicurezza Nazionale (d’intesa con il Garante della privacy) raccomandano l’uso di sistemi di crittografia attraverso algoritmi di password hashing avanzati, per proteggere le credenziali. Questi algoritmi rendono le password memorizzate quasi impossibili da decifrare. Fra quelli più diffusi citiamo PBKDF2, SHA-256, Scrypt, Argon2. Inoltre, l’implementazione dell’autenticazione multifattoriale (MFA) aggiunge un ulteriore livello di sicurezza.
Monitoraggio continuo delle attività di rete e degli accessi
Gli strumenti di intrusion detection e monitoraggio proattivo aiutano a rilevare comportamenti sospetti in tempo reale. L’implementazione di queste soluzioni, insieme a un regolare sistema di backup, assicura che i dati critici possano essere ripristinati rapidamente in caso di violazione, riducendo al minimo i tempi di inattività.