Cybersecurity | Digital Transformation

Perché è importante generare password sicure in azienda

Scritto da Andrea Bonetti
il 07/27/2022

Perché è importante generare password sicure in azienda

Impostare password forti, caratterizzate dalla presenza di caratteri alfanumerici, di simboli speciali e del ricorso al maiuscolo e al minuscolo è imprescindibile. In ambito aziendale, questa prassi è fondamentale, sia per la salvaguardia dei dati personali e per dati e informazioni sensibili dell’azienda. Nel settaggio di una password, infatti, l’intento primario dell’utente deve essere quello di rendere complicata l’identificazione, impedendone il riutilizzo da terze parti. Nelle imprese impiegati, quadri, dirigenti utilizzano una miriade di servizi online, di software, di mobile app, oltre alla posta elettronica: tenendo conto del fatto che non conviene mai utilizzare la stessa password per due o più risorse, a lungo andare si riscontrano evidenti difficoltà in fase di memorizzazione delle credenziali di accesso. E non è tutto, visto che creare password forti non è affatto semplice.

Prima di vedere alcuni accorgimenti relativi all’importanza di generare password sicure in azienda, è bene focalizzarsi su cosa sia per definizione una parola che abilita l’accesso.

Password: definizione

Nell’ambito informatico, la password è una parola d’ordine, costituita da almeno 8 caratteri alfanumerici. Il suo scopo consiste nel consentire l’accesso all’apposito servizio online. Per ogni nome utente univoco, sia questo un username, un indirizzo di posta elettronica, un ID, viene associata una parola che abilita l’accesso. Si viene a formare, di fatto, un codice significativo che deve risultare segreto. Dopo aver digitato il nome utente e la password, l’utente abilita l’accesso.

I generatori per password

In riferimento a come generare parole d’ordine sicure nel contesto aziendale, la scelta ricade molto spesso sui generatori per password. Il web è pieno di risorse a tema: il loro funzionamento è più o meno lo stesso. Per impostare una password sicura, i generatori suggeriscono prima di tutto 8 tra caratteri alfanumerici e simboli speciali con tanto di presenza di lettere maiuscole e minuscole. L’utente ha la possibilità di aumentare il numero di caratteri alfanumerici a sua discrezione, portandolo ad esempio da 8 a 20 o addirittura a 30. Questa strategia permette di generare una password molto sicura, complessa e altamente affidabile.

I segreti per scrivere una password sicura

Tra i capisaldi attinenti alla scrittura di una password sicura, è opportuno citare la lunghezza, come detto a partire da 8 caratteri. La scelta ideale è quella di generarne una di 15 caratteri. La presenza di numeri, lettere maiuscole e minuscole, ma soprattutto di caratteri speciali, come +, %, $, /, @, =, £, ecc., contribuirà a rafforzarne il livello di inviolabilità, a fronte di attacchi messi in pratica da eventuali malintenzionati.

Affinché la password si dimostri forte, non devono essere presenti al suo interno informazioni personali. Spesso gli utenti, specie nel contesto aziendale, hanno l’abitudine di inserire accanto alla parola d’ordine il giorno o l’anno della loro data di nascita. Questo è un errore da evitare.

Affinché, però, la memorizzazione non risulti un ostacolo insormontabile, l’utente deve saper giocare un po’ di astuzia e un po’ di strategia quando imposta la password che gli servirà per accedere alle risorse aziendali.

Uno dei consigli per la creazione di password sicure in azienda è che quanto più sono complesse, tanto sono imprevedibili. Ma l’imprevedibilità non è affatto sinonimo di scontatezza. Tutt’altro. Una password può risultare imprevedibile, sicura e forte, anche se è facile da ricordare.

Ecco alcuni esempi da tenere in considerazione nel momento in cui si generano password sicure ed efficaci.

La creazione di acronimi di frasi semplici e rappresentative è una soluzione originale per centrare appieno quest’obiettivo. Partendo dalla frase: “Mi chiamo Roberto e ho 2 figli”, si può ottenere la seguente password forte: “McRbRtH2F”.

Altra mossa intelligente verte sul ricorso alla costruzione delle stringhe. Partendo dalla frase “I love pizza”, la stringa da creare potrà essere: “!L0V3P!22a”. Questa tipologia di password, nota come passphrase, risulta nel complesso abbastanza semplice da digitare, nonché facile da ricordare. Esattamente come l’altra, in termini di sicurezza, soddisfa tutti i criteri indicati: è di natura alfanumerica, presenta lettere maiuscole, minuscole e caratteri speciali.

Altra strategia creativa ruota attorno sul ricordo della parola prediletta, integrandola con la tecnica del padding. Di cosa si tratta? Sostanzialmente, di parole da contorno, volte a rafforzarne la sicurezza. Se la parola preferenziale è “gelato”, allora una password sicura in ambito aziendale potrebbe essere “GelatoA3gusti!L!moneFragolaP!stacch!o”. Se è “pasta”, si potrà integrarla con la tecnica del padding in questo modo: “PastaCon50CubettiDiGuanc!ale”.

In definitiva, grazie al padding, l’utente allunga la password, inserendo caratteri casuali che seguono la parola chiave prediletta.

Anche la selezione di frasi corte appare utile nella creazione di password aziendali efficaci, anche perché ricordarle è più semplice. Un esempio particolarmente calzante al riguardo può essere: “VadoARomaEpioveh24!”. Si tratta di una frase corta di successo, perché non rientra nel vocabolario di un hacker. Intercettarla, di fatto, risulterà praticamente impossibile.

Non solo password, ma anche l’username deve essere forte

Per aggiungere quel pizzico di complessità in più, che non guasta proprio mai, oltre alla password forte, l’utente deve settare anche un username univoco, difficile da essere intercettato. Ricorrere al proprio indirizzo di posta elettronica come nome utente, non è di certo una decisione oculata, perché per un hacker rintracciare i siti utilizzati dal diretto interessato non è di certo un problema.

Come riescono gli hacker a impossessarsi delle password usate in azienda?

Ci sono tutta una serie di strategie che hacker e i malintenzionati mettono in pratica nel momento in cui si pongono l’obiettivo di rubare una password aziendale.

Come detto, spesso vi è l’errore umano. Il ricorso all’indirizzo di posta elettronica o del “nome.cognome” come username rappresenta un punto a sfavore dell’utente. Se poi la password scelta è debole, l’hackeraggio ha successo. Password come quelle contenenti il nome dell’impresa, una parola chiave a cui si aggiunge la sua versione scritta al contrario, come ad esempio “gelatootaleg”, il nome del partner o del figlio, sono soggette all’intercettazione mediante il social engineering. Questa tecnica subdola si serve dei social network e di tutte le piattaforme online per interagire con l’utente. Magari gli si manda un messaggio via Facebook, dove si comunica che il profilo è stato violato e che solo cliccando sul link e reimpostando la password si può venirne a capo. Nel momento in cui l’utente clicca sul link e reimposta la password, la tecnica di hackeraggio va in porto. Poi, sempre tramite il social engineering, gli hacker studiano i profili delle loro vittime e provano a inserire come password le date o i luoghi di nascita, il nome dei figli, del marito, della moglie, ecc. Il processo di ricostruzione delle password passa anche da questi step.

Altra tecnica con cui i malintenzionati ingannano i professionisti delle aziende ha a che fare con i cosiddetti brute force attack. Vengono impiegati software dedicati che nel giro di qualche minuto eseguono una miriade di combinazioni, prese da un dizionario creato appositamente per questo scopo. Risultato? Dopo alcuni tentativi andati a vuoto, la password esatta viene trovata. In ambito aziendale, numerosi hacker si sono attrezzati, dedicando per molte ore il loro pc a questo scopo. Altri hanno addirittura ricattato le imprese, minacciando di mettere online le password dei loro dipendenti.

Inoltre, massima attenzione anche al cosiddetto “shoulder surfing”: quando un dipendente o un dirigente digita una password per l’accesso a un servizio aziendale, farebbe bene a prestare attenzione a che non vi sia qualcuno che lo osserva alle spalle (appunto, lo shoulder).

Infine, mai inviare la password via e-mail o via SMS o ancora in chat. Se la comunicazione viene intercettata, la sicurezza della parola d’ordine viene seriamente messa a repentaglio.

Il ruolo degli amministratori e degli IT manager

Nell’impostazione di password sicure e forti, il ruolo degli amministratori e degli IT manager si rivela prezioso: tocca a loro dare indicazioni su come portare a termine questo compito. Tuttavia, non sempre in ambito aziendale le loro dritte vengono seguite. Altrimenti, non si spiegherebbe il fatto che “123456” sia tuttora la password più ricorrente e che il nome dell’azienda spesso venga ancora inserito nelle parole d’ordine. Per rendere i professionisti più sensibili verso questo argomento, sarebbe forse il caso di spiegare in concreto come si possono creare password forti in azienda. Tuttavia, è bene che di questo compito se ne occupino gli specialisti che operano al di fuori del network aziendale. Chi meglio di loro può suggerire password sicure e a prova di scasso?

Conclusioni

La battaglia relativa alla sicurezza delle password in ambito aziendale coinvolge in maniera evidente sia gli amministratori sia gli IT manager da tanti anni oramai. Sembra essere una questione tutto sommato semplice, ma in realtà non lo è affatto, perché nonostante i passi in avanti ottenuti dalle tecniche di protezione delle password, divenute al giorno d’oggi sempre più sofisticate, vi è un ruolo evidente della componente umana. Quest’ultima incide sensibilmente sull’equazione di rischio. Il risultato è che il più delle volte, un po’ per pigrizia e un po’ per superficialità, l’utente è solito utilizzare password scontate e semplici da memorizzare, ripetendole non solo nei servizi attinenti al mondo del lavoro, ma anche ai servizi utilizzati nella routine personale. Questo è un errore che occorre evitare in tutti i modi, perché è un po’ come lasciare le chiavi di casa incustodite e attaccate alla serratura della porta di ingresso. Prima o poi qualcuno ne approfitterà, violando il contesto abitativo. E per l’ambiente aziendale, le cose non cambiano più di tanto.

C’è bisogno di diffondere all’interno dell’azienda una cultura della sicurezza informatica: maggiore cura nella scelta della password aziendale sicura ed efficace, prassi legate all’aggiornamento delle password ogni sei mesi, attenzione allo stato di salute dei device aziendali e personali, se alle volte utilizzano la rete aziendale.

Per questo motivo, onde evitare problemi al riguardo, lasciati supportare dai nostri Chief Digital Officer nella costruzione di questa cultura della sicurezza informatica nella tua organizzazione precisa. Potrai avvalerti di una mappatura del processo davvero molto precisa clicca quì e compila il nostro test digitale.

 

Leggi di più

Load More

Inserisci un manager con la nostra formula flat

Manager specializzati in formula mensile

Ti forniamo manager con più di 20 anni di esperienza in aziende strutturate e con le specificità che ti servono, attraverso un comodo piano mensile 

Ready to go

Sia che abbiate bisogno di un manager per un progetto a breve termine o per coprire un’assenza improvvisa, siamo sempre in grado di aiutarvi

Scopri il tuo mensile