Il World Password Day è una data che ci ricorda purtroppo che non prestiamo mai molta attenzione quando dobbiamo creare o modificare nuove password. Per fortuna, le cose stanno migliorando grazie anche a nuovi strumenti che consentono di avere password più sicure, ma l’esigenza di avere una Giornata Mondiale dedicata alle password per ricordarci quanto sia importante resta.
Spesso si pensa di non possedere nulla che i criminali possano desiderare ma in realtà non è proprio così. Gli utenti possiedono diverse password per i servizi di posta elettronica, le piattaforme di streaming video, le piattaforme scolastiche e tanti altri accessi. Le password di solito custodiscono informazioni personali o metadati sulle persone, vale a dire dati di valore per ciascuno di noi.
Nonostante ciò, le password sono considerate come qualcosa che richiede tempo e fatica, quasi una scocciatura nella nostra routine di vita quotidiana, motivo per cui tendiamo a prendere delle scorciatoie, come per esempio usare la stessa password per più servizi o scegliere password semplici e facili da ricordare.
Una grande percentuale di violazioni negli ultimi cinque anni si è verificata proprio a causa del riutilizzo delle password e degli attacchi alle credenziali di accesso. Una volta ottenuto l’accesso alle credenziali rubate, gli hacker si muovono rapidamente (a volte tramite tentativi di login automatici su larga scala) per provare ad accedere a vari siti web, comprese le infrastrutture aziendali, ottenendo un grande successo.
La maggior parte delle persone nel mondo ora ha almeno una password esposta a causa di un sito web compromesso. Anche un esperto di sicurezza come me non è immune. Dopo un’analisi, ho scoperto che le mie informazioni private sono state esposte su circa 40 siti web violati a cui mi ero registrato.
Tre scomode verità
Un recente sondaggio ha mostrato che il 66% delle persone non prende in considerazione la possibilità di cambiare le password dopo aver saputo di importanti violazioni di dati, e più della metà non ha cambiato le proprie password negli ultimi 12 mesi. A causa di questo tipo di comportamento gli hacker avranno sempre a disposizione un gran numero di credenziali valide a seguito di attacchi di violazione dei dati.
Nonostante i progressi tecnologici e i servizi online che richiedono password più complesse, la password più usata al mondo rimane ‘123456’. Una recente indagine ha mostrato che su un miliardo di credenziali analizzate, circa sette milioni erano ‘123456’.
Le stesse vecchie password ora proteggono più dati. Con il passare del tempo, i servizi online raccolgono sempre più informazioni relative al loro utente o che gli appartengono, senza contare i metadati. Questo significa che tutte quelle password non sicure in realtà proteggono un gruppo di dati personali sempre più importante.
C’è ancora speranza
Che sia incentivata dall’uso dei servizi online o da una maggiore consapevolezza, la sicurezza delle password si è evoluta. Sempre più persone ora scelgono password complesse e uniche grazie anche alla disponibilità di strumenti per la gestione delle password. Questo tipo di software agisce come una comoda “cassaforte” per tutte le credenziali dell’utente, in modo da non doverle ricordare tutte.
Inoltre, il tasso di utilizzo dell’autenticazione a più fattori (MFA) è ora superiore al 50%. Più livelli di sicurezza garantiscono una migliore protezione, e l’MFA ha assunto rapidamente un ruolo essenziale.
Quando si creano nuovi account tutti i principali browser ora offrono password robuste e uniche, le aziende che offrono soluzioni di cybersecurity hanno rilasciato strumenti che verificano se le credenziali create fanno parte di una violazione dei dati e gli utenti sembrano più consapevoli dell’importanza delle credenziali scelte.
5 misure semplici ma efficaci per ridurre il rischio di violazione delle password
- Utilizzare uno strumento per la gestione delle password: in questo modo sarà necessario ricordare solo la password principale del proprio strumento di gestione delle password. Questo strumento genererà password in modo totalmente casuale, lunghe più di 20 caratteri per ogni login. Usare il copia-incolla per i moduli o le applicazioni che non si integrano nativamente con il gestore di password.
- Usare il single sign on (autenticazione unica) piuttosto che creare un account e un’altra password quando possibile. Accedere tramite Google, Apple, Facebook, Active Directory aziendale, ecc.
- Evitare i servizi che non supportano l’autenticazione a più fattori (MFA). È l’ultima linea di difesa ed è imprescindibile.
- Adottare un comportamento corretto e sicuro: tutte le volte in cui si digitano le proprie credenziali online (password, telefono, pin o pattern) sì è potenzialmente vulnerabili: non sono solo le persone vicine a noi che possono intravedere le password digitate, ma anche le telecamere che sono ormai diffuse ovunque.
- Usare sistemi di riconoscimento biometrico come l’impronta digitale e l’identificazione del viso.