Questa settimana saltiamo un po’ e ci immergiamo nel punto 5 delle linee guida della Small Business Administration per difendere la vostra azienda dalle minacce informatiche: usate password forti e cambiatele spesso per proteggere dalle minacce esterne e interne.
Le password sono come alcuni politici. Possono sembrare complesse e laboriose, ma in realtà, sono solo le stesse idee stanche timbrate con un nuovo anno e un numero qualsiasi di “!” attaccati alla fine.
#P@ssw0rd2019!!!
Purtroppo, la password, con i suoi difetti intrinseci e le sue responsabilità, è spesso l’unica linea sottile di protezione tra i vostri utenti, i loro dati e un Internet pieno di criminali informatici. Non è giusto, non è corretto, e lo sguardo vitreo che riceverete dai vostri utenti quando direte loro gli ultimi “requisiti di password complesse” che state implementando fornirà agli amministratori ignari una dura verità:
Non importa quante cifre gli fate usare, non importa quanti caratteri speciali sono richiesti, e non importa quanto spesso gliela fate cambiare, la password sicura, il più delle volte non lo è.
Quella pazza cosa della password che fai e che fa piangere il tuo CISO
Forse il problema più comune con la sicurezza delle password è che man mano che il nostro posto di lavoro e la nostra vita sono diventati sempre più digitali, stiamo scoprendo che abbiamo bisogno di ricordare sempre più password solo per mantenere l’accesso alle nostre informazioni personali.
Devi fare un pagamento con carta di credito o controllare il tuo saldo? Hai bisogno di una password.
Hai più di una carta di credito? Hai bisogno di più password.
Conto bancario? Password.
Avete bisogno di nuove idee da Pinterest? PASSWORD.
In effetti, la tendenza del “sovraccarico online” sta peggiorando con il consumatore medio statunitense che ha più di 100 account unici associati a un singolo indirizzo e-mail. Naturalmente, ogni account deve essere protetto, il che significa che ogni account ha bisogno di una password – ed è meglio che questa password sia complessa. Ed è meglio che non la dimentichiate, o vi manderemo il nostro amico. Ti chiederemo il nome da nubile di tua madre e chi era il tuo insegnante preferito alle elementari, creando così più cose da ricordare e (perversamente) più cose che possiamo inavvertitamente compromettere per i criminali informatici.
Questo sovraccarico porta le persone a fare cose stupide e ognuna di queste cose stupide crea vulnerabilità di sicurezza che mettono a rischio gli utenti e i dati aziendali. Ecco solo alcune cose che gli utenti fanno ogni giorno … e con “utenti” in realtà sto dicendo “tutti noi.”
- Siamo sempre più spesso a riutilizzare la stessa password.
- Quando non stiamo riutilizzando la stessa password, stiamo usando semplici incrementi per “ingannare” algoritmi complessi (password1, password2, password3 …).
- Non siamo particolarmente abili nell’inventare nuove password e quando lo siamo, le dimentichiamo.
- Scriviamo le password su carta, o addirittura le appuntiamo sui nostri monitor.
- Le teniamo in un file di testo, in chiaro, su Dropbox o Google Drive.
Il riutilizzo delle password è forse una delle tendenze più preoccupanti che deriva dal sovraccarico di account online. Dopo tutto, se un criminale informatico compromette un account e abbina la password craccata a un indirizzo e-mail, è un esercizio incredibilmente semplice per loro provare la combinazione su decine, o addirittura centinaia, di account online fino a trovare quello che stanno cercando. Peggio ancora, possono prendere queste credenziali e venderle ad altri criminali che passano il loro tempo a setacciare i metadati su chi siamo e come viviamo, il che porta a perdite di identità più complesse che compromettono vite e mezzi di sussistenza.
E allora cosa c’entra Silente?
Prima di tutto, in un mondo di requisiti di sicurezza sempre più complessi, la tradizionale combinazione di nome utente e password basata sul testo non è sufficiente. Nuove tecnologie come l’autenticazione a più fattori tramite smart card o biometria inizieranno rapidamente a diventare la norma, creando nuovi e sempre più divertenti modi per rendere l’intero processo ancora più noioso e difficile! Ci sono semplicemente troppe parti della nostra vita a cui vogliamo accedere online, e i dati sono semplicemente troppo sensibili per affidarsi alla fallibile memoria umana e alle cattive metodologie di protezione delle password dei politici.
Nel frattempo – mentre siamo bloccati con la fallibile memoria umana come nostro principale sistema di sicurezza – la conoscenza è potere. Lavorate con i vostri impiegati e manager per insegnare loro perché le password forti sono importanti, e perché – anche oggi – la necessità di cambiare le password regolarmente è ancora un requisito necessario (anche se fastidioso). È importante dimostrare ai tuoi utenti quanto possano essere pericolose le cattive pratiche di password. Mostrate come una sola credenziale compromessa può avere un effetto a cascata sulle loro vite, rovinando i bilanci bancari, distruggendo le valutazioni di credito e aprendoli a problemi legali e responsabilità.
Mentre li state spaventando con questa realtà, cogliete l’opportunità di insegnare loro qualcosa sulle buone pratiche di sicurezza per il loro comportamento online. Mostrate loro come gli imbroglioni e i criminali di Internet possono usare i siti di social media per coltivare surrettiziamente i loro dati personali usando i famosi “quiz” di Facebook.
Ti chiederanno: “Vuoi sapere a quale personaggio di Harry Potter sei più simile?” Basta dire loro la tua età, il tuo colore preferito, il nome del tuo primo animale domestico e il tuo cibo preferito.
Ora, notate qualcosa delle informazioni che vogliono? Ti sei mai chiesto come il tuo colore preferito o il nome del tuo primo animale domestico possano aiutare il Cappello Parlante a capire a quale casa di Hogwarts appartieni?
La risposta: Non lo fa, ma queste informazioni sono estremamente utili per un criminale informatico che cerca di ottenere l’accesso ai tuoi account personali violando le tue domande di sicurezza.
Le password forti non salveranno la giornata, ma aiutano a prevenire le minacce interne
Come sempre, la soluzione è a più livelli. Le password forti aiutano, il comportamento intelligente online aiuta, buoni processi e procedure di sicurezza rafforzati da un software di sicurezza per piccole imprese di livello mondiale come LanScope Cat *aiutano*. Nessuna soluzione risolverà tutto, ma persone intelligenti con buoni strumenti e formazione possono rendere la vostra organizzazione un bersaglio molto più difficile.
.