Secondo molti professionisti della sicurezza IT le password rappresentano l’anello più debole nella catena di difesa di un’azienda e a ragione.
Tra le principali problematiche che si riscontrano vi sono l’assenza di password forti, la scarsa abitudine a cambiarle con cadenza regolare, l’errore umano. E poi c’è la criticità maggiore: la tendenza a usare la stessa password su più servizi.
Le password sono spesso la prima linea di difesa: sono la protezione per l’endpoint, la workstation, il laptop o lo smartphone dove ognuno inizia la sua giornata lavorativa.
Si tratta del primo punto di contatto con un’organizzazione e, se violato, anche del primo punto di accesso da parte di un hacker. Un endpoint compromesso rappresenta il primo step di un attacco, quindi ogni falla nelle sue protezioni va considerata seriamente.
Per questo, molte aziende sono alla ricerca del modo per eliminarle, una volta per tutte. Google ha recentemente lanciato un programma pilota “senza password”, per fornire accesso remoto ai suoi dipendenti, e alla Ignite Conference del 2018, Microsoft annunciò anche “la fine dell’era delle password”. E già nel 2015, Yahoo aveva cercato di eliminare le password con la sua “Account key”, una funzionalità push.
Andrea Argentin, Sales Engineer Manager di CyberArk si sofferma con noi sulle più comuni tipologie di attacco che vediamo oggi: spear phishing e phishing sofisticato, attacchi brute force, social engineering e malware exfiltration. Hanno tutti una cosa in comune, sostiene: ognuno di questi attacchi punta a sottrarre a un utente la password, o meglio le credenziali di accesso privilegiato.
Non sorprende, quindi, che ci siano stati molti tentativi di sostituire la password, alcuni dei quali, come gli approcci basati su elementi biometrici, come il riconoscimento facciale e l’acquisizione dell’impronta digitale, hanno già riscosso un discreto successo.
Se l’adozione di queste alternative innovative incrementerà in futuro, ci vorrà comunque tempo prima di arrivare alla situazione in cui non ci saranno più password.
Argentin, quindi, suggerisce quattro best practice che amministratori IT e team di sicurezza possono considerare per assicurarsi che le password degli utenti non vengano nel frattempo compromesse.
Password forti, differenti, integrate e ruotate
Bisogna usare una password forte: le password forti sono quelle che contengono diversi tipologie di caratteri e, di conseguenza, richiedono a un hacker più tempo e fatica per violarle. Le parole chiave dovrebbero contenere almeno 10 caratteri, con una combinazione di tipologie di caratteri, come virgole, simboli percentuali e parentesi, oltre a lettere maiuscole e minuscole, e numeri. Ogni carattere aggiunto incrementa la difficoltà da parte degli hacker di violarla.
Bisogna utilizzare una password differente per ogni servizio e account: oltre la metà dei professionisti dell’IT riutilizza le password per cinque o più account. Se si tendono a usare le stesse, anche se lunghe e complesse, per siti e account differenti, basterà comprometterne una per mettere in serio pericolo tutti gli altri account.
Bisogna usare l’autenticazione multi-fattore: questo significa che per lo sblocco di un account vengono richiesti diversi tipi di autenticazione, e non solo uno.
La prima parte del processo di autenticazione implica qualcosa che l’utente conosce, come una password. La seconda parte invece richiede qualcosa di cui l’utente non è già a conoscenza, come un codice inviato al suo cellulare da un software di autenticazione o creato da un’applicazione apposita sul telefono. Questo codice rappresenta la seconda metà del processo di login. In questo modo, anche se un hacker riesce ad entrare in possesso della password, senza la seconda parte dell’autenticazione non può avere accesso all’account.
Bisogna affrontare il rischio legato alla presenza di diritti di local admin sulle stazioni di lavoro: chiavi di accesso deboli e utenti finali dotati di diritti di amministrazione sulle loro workstation sono per le organizzazioni un rischio significativo di sicurezza.
Molti attacchi partono da endpoint ai quali gli hacker ottengono inizialmente accesso tramite un attacco di phishing, o quando un dipendente inavvertitamente scarica ed esegue un’applicazione pericolosa.
Quindi bisogna ruotare regolarmente le password locali di amministrazione riduce il rischio a livello di endpoint.
In molti casi, ricorda Argentin, l’obiettivo di chi attacca è quello di compromettere le credenziali privilegiate che si trovano sulle workstation.
Credenziali privilegiate come i diritti di admin possono consentire agli hacker di muoversi in modo laterale all’interno di un’organizzazione, finché non riesco ad accedere a sistemi dotati di informazioni personali sensibili o proprietà intellettuale.
Per ridurre questo rischio, come primo step le organizzazioni dovrebbero ruotare su base ricorrente le credenziali di admin locale (comprese le build OS sugli account locali), come importante misura di sicurezza.
Nel tempo, si dovrebbe prendere in esame la possibilità di rimuovere del tutto i diritti di local admin dalle workstation locali, per ridurre ulteriormente il rischio di attacchi in partenza dagli endpoint.
