Cybersecurity Awareness Month: adottare password forti, MFA e una buona igiene delle password
Il focus del Cybersecurity Awareness Month di quest'anno - "See yourself in cyber" – riguarda le semplici azioni che gli individui e le organizzazioni possono intraprendere per proteggersi meglio dalla criminalità informatica. Due di queste riguardano l'utilizzo di password complesse e l'abilitazione dell'autenticazione multi-fattore (MFA), ed è piuttosto semplice capire il perché.
Purtroppo, anche nel 2022 le persone utilizzano ancora password deboli e facili da indovinare come "12345", "qwerty" e, sì, la parola "password" per accedere ad account, sistemi e infrastrutture critiche. Alcuni potrebbero pensare che aggiungere qualche trucco e combinare la data del loro compleanno con il nome del loro cane crei abbastanza complessità da impedire a un criminale informatico di indovinare la loro password. Bene, non è così. È noto che determinati attaccanti scrutano accuratamente gli account social media delle loro vittime alla ricerca di indizi che potrebbero aiutarli a indovinare le password. E ci sono molti strumenti per aiutare gli hacker a decifrare le password che si basano su formule o parole.
Un recente alert congiunto della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e degli organismi di vigilanza sulla sicurezza informatica di diversi altri paesi ha evidenziato il ruolo che i deboli controlli di sicurezza svolgono nelle violazioni e la necessità per le organizzazioni di rafforzare le credenziali (tra le altre raccomandazioni). Molti degli incidenti di sicurezza informatica più importanti, come l'attacco ransomware a Colonial Pipeline dell'anno scorso, iniziano con attaccanti che utilizzano una password rubata.
Oggi, una buona igiene delle password inizia con l'avere password uniche, casuali e complesse per ogni account (almeno 16 caratteri casuali, non parole del dizionario). Certo, è più facile a dirsi che a farsi. Le persone generalmente hanno difficoltà a ricordare le password e, di conseguenza, spesso ricorrono a password semplici, riutilizzandole tra gli account o modificandole leggermente (ad esempio cambiando un carattere). Sfortunatamente, le password riutilizzate possono creare più vulnerabilità in caso di violazione.
Un modo per ridurre al minimo questo problema è incoraggiare l'uso di gestori di password. Consentono agli utenti di creare e tenere traccia di password complesse. Sebbene i database delle password siano un obiettivo primario per i furti e ampiamente disponibili online, se un database di password con hash viene rubato, le password complesse possono essere più difficili da decifrare.
Ma una buona igiene delle password è solo l'inizio di un sistema di autenticazione forte. Questo perché una volta che un utente malintenzionato ottiene l'accesso a una password - indovinandola, acquistandola sul dark web o tramite il social engineering (come il phishing) - ha le "chiavi di ingresso" se non c'è un ulteriore passaggio aggiuntivo in atto per la verifica dell'identità.
Secondo l'ultimo Verizon DBIR, oltre il 40% di tutte le violazioni ha a che fare con l'uso di credenziali rubate; per le violazioni dell'infrastruttura connessa a Internet, come i server Web e di posta elettronica, questo dato supera l'80%. E secondo una stima, il numero di password rubate e violate sul dark web è salito fino a 24 miliardi, aumentando anno dopo anno e non se ne vede la fine. È qui che entra in gioco l'autenticazione a più fattori (MFA). Può fermare molti attacchi prima che inizino anche se gli attaccanti ottengono l'accesso alle credenziali. Con l'autenticazione a più fattori, gli utenti sono tenuti a fornire sia una password che almeno un'ulteriore verifica della propria identità, ad esempio rispondendo a un messaggio su un dispositivo mobile approvato, con un token hardware o con un dato biometrico come un'impronta digitale, prima che venga loro concesso accesso a reti o risorse. Questo passaggio aggiuntivo aumenta significativamente il grado di difficoltà per gli attaccanti e riduce notevolmente la probabilità che una sola credenziale compromessa sia sufficiente per lanciare un attacco.
Sta diventando sempre più chiaro che l'MFA non è solo una bella funzionalità di sicurezza da avere, ma è invece una parte vitale di qualsiasi struttura di sicurezza. Verizon DBIR consiglia l'MFA come prima soluzione che le PMI dovrebbero implementare per proteggersi dagli attacchi informatici. Allo stesso modo, il recente avviso della CISA suggerisce lo stesso. Anche se le soluzioni passwordless iniziano a guadagnare terreno, le password non andranno da nessuna parte per un bel po’ di tempo ancora.
La buona notizia è che l'MFA è conveniente, facile da implementare e facile da usare. Ovviamente, se stai parlando della soluzione MFA AuthPoint™ di WatchGuard!
Se desideri vedere come AuthPoint supera la concorrenza, leggi questo report di Miercom.