Un’indagine condotta a livello mondiale evidenzia come le passowrd multiple siano non semplicemente un problema, ma anche un rischio.
Nei mesi scorsi, Rsa Security ha condotto la seconda indagine annuale
sulle password, alla quale hanno preso parte oltre 1300 rappresentanti di
aziende in tutto il mondo.
Obiettivo dell’indagine era
capire se e in quale misura l’utilizzo non corretto delle password possa mettere a rischio le iniziative per la compliance delle imprese e aprire pericolose falle nella sicurezza dei sistemi.
Il primo dato che Rsa evidenzia al termine dell’indagine è come il 57% degli intervistati dichiari che la propria azienda non richiede frequenti cambi di password o non attua stringenti politiche in merito per non creare difficoltà ai propri dipendenti.
Tuttavia, la maggior parte (59%) delle aziende intervistate ritiene che una corretta gestione delle password sia “estremamente importante” ai fini della compliance. Più convinti dell’importanza gli americani (66% del campione USA), lievemente meno gli europei (48%).
E a conferma di questa convinzione, sono molte le aziende che si dicono preoccupate dell’impatto negativo che una cattiva gestione delle password può avere sulla sicurezza IT: il 41% si dice “fortemente preoccupato”, il 44% “moderatamente preoccupato”.
Frequenti i casi di violazione dei quali gli interpellati sono a conoscenza. Si va dall’accesso al vecchio account aziendale da parte di ex dipendenti, all’alterazione delle informazioni fino al recupero di password altrui.
Il problema, sottolinea però Rsa, è che gli utenti sono sovraccaricati di un numero eccessivo di password necessarie per accedere alle applicazioni di lavoro, ai siti web e ai portali.
Si parla di oltre 15 password per il 18% degli intervistati, mentre il 36% ne possiede un numero variabile tra 6 e 15.
Impossibile, è evidente, ricordarle tutte.
E poi ci sono le policy aziendali.
In Europa il 34% degli interpellati è obbligato a cambiare le password ogni mese e il 70% del campione globale ha dichiarato che la propria azienda richiede l’uso di password di 8-14 caratteri e composte da una combinazione di lettere, numeri e simboli. Nel 48% dei casi, a completare il quadro, non è permesso riutilizzare una vecchia password.
Da questa situazione di eccessiva complessità derivano comportamenti rischiosi, come l’annotarsi le password su carta, conservarle in un file, registrarle su dispositivi mobili o addirittura annotati su post-it appiccicato allo schermo dei pc, abitudine questa segnalata dal 40% dei rispondenti.
Ma non è tutto.
L’indagine ha evidenziato come il supporto correlato alle password comporti un onere di lavoro non trascurabile per gli help desk. Un quinto degli intervistati ha detto che le chiamate legate alle password rappresentano dal 26 al 50 per cento delle richieste che arrivano all’help desk.
La soluzione non è dietro l’angolo, anche se il 56% degli interpellati guarda con favore, ad esempio , alla possibilità di disporre di un’unica password “master” che sostituisce tutte le altre password usate in azienda.
Per questo RSA chiude il proprio report con dieci consigli su cosa fare e cosa non fare per non complicarsi la vita senza però mettere a repentaglio la sicurezza.
I cinque SI’
1. Creare password di minimo 8 caratteri
2. Includere diversi tipi di caratteri: maiuscole e minuscole, numeri, simboli, ecc. Più ce n’è, più si rende difficile la vita a chi tenta di indovinare la password
3. Usare password diverse per le diverse applicazioni
4. Se possibile usare una frase anziché una parola, magari usando solo l’iniziale di ogni parola che la compone. Es. “ho accompagnato Marco a scuola alle 9” può essere reso con “hLm@S@9”
5. Cambiare le password almeno ogni 3 mesi
I cinque NO
1. Non usare informazioni personali quali nome, data di nascita, anniversari, nome dei figli o del cane. Sono le prime cose a cui pensano i cacciatori di password.
2. Evitare di usare parole d’uso comune, anche non italiane. Anche se scritte all’incontrario possono essere rischiose.
3. Non riutilizzare la stessa password prima che siano trascorsi 9 mesi dall’ultima volta che è stata usata.
4. Evitare di usare lo steso carattere per più di 3 volte o 3 volte di seguito
5. Non confidare a nessuno le
proprie password.
