Home 9 Corsi & Consulenza 9 La sicurezza informatica non è un optional
la sicurezza informatica non è un optional

la sicurezza informatica non è un optional: guida essenziale a password e protezione dati per aziende e utenti web

La vita moderna è indissolubilmente legata alla tecnologia, con gran parte delle nostre attività personali e professionali gestite tramite portali web e dispositivi interconnessi. In questo panorama digitale, la sicurezza informatica non è semplicemente una cautela, ma un obiettivo determinante sia per i singoli fruitori del web sia per le aziende. L’esigenza fondamentale è garantire la riservatezza dei dati e arginare le azioni sempre più sofisticate dei cybercriminali.

Il rischio di accesso ai nostri dati da parte di persone malintenzionate è un’eventualità fortemente plausibile, e per prevenirla è necessario adottare una serie di misure protettive.
L’analogia è semplice: non lascereste mai la porta di casa aperta con le chiavi attaccate, e la stessa filosofia deve essere applicata alle vostre password e credenziali digitali.

sicurezza informatica

La rivoluzione della sicurezza digitale: perché la passività è un rischio

Mentre gli hacker cercano obiettivi sensibili come aziende grosse (dove il riscatto può ammontare a svariate migliaia di euro per i cosiddetti ransomware*), anche i privati cittadini sono esposti a minacce dirette (dove il riscatto è esiguo ma su larga scala e talvolta non individuato con prontezza). Il furto di credenziali può portare a danni gravi: dall’accesso a conti bancari (home banking) e dati sanitari riservati fino all’invio di mail malevole ad altri contatti che credono di interagire con voi. In un contesto aziendale, il danno reputazionale, economico e operativo derivante da una violazione è incalcolabile, e spesso le aziende si ritrovano a pagare il riscatto pur di tornare in possesso dei propri dati. Per questo motivo, la sicurezza non è un compito delegabile, ma un’esigenza che ci tocca direttamente.

L’errore capitale: superficialità e riutilizzo

Troppo spesso, per comodità, superficialità o pigrizia, si ha l’abitudine di usare credenziali facili da memorizzare o, peggio ancora, di riutilizzare la stessa password per accedere a servizi diversi (il cosiddetto “password reuse“). Questo è indiscutibilmente l’errore più grave che si possa commettere!

L’utilizzo della stessa password su siti diversi rende la nostra sicurezza a rischio. Se un hacker riesce a violare il database di un sito meno sicuro e ruba quella specifica password, sarà un gioco da ragazzi usarla su altri account. Questo meccanismo, noto come credential stuffing, sfrutta il riutilizzo delle credenziali per attaccare altri sistemi. 
Un esempio noto è il data breach di linkedin (2012), attraverso il quale furono violati anche gli account Twitter e Pinterest di Mark Zuckerberg, proprio perché utilizzava la stessa password su tutti.
La posta elettronica (email) è spesso l’obiettivo più sensibile: se un malintenzionato entra nella vostra mail, vedrà tutte le notifiche di benvenuto e registrazione ricevute nel tempo (da amazon a trenitalia, ecc.) e potrà facilmente accedere a tutti i servizi che condividono la stessa password!

Non puoi evitare che il tuo sistema venga violato, ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password.

sicurezza informatica

Le tattiche degli hacker: phishing, indovinamento e intercettazione

Le tecniche utilizzate dai cybercriminali per acquisire in maniera illecita le credenziali sono molteplici:

Phishing e ingegneria sociale

Consiste nell’ottenere i dati tramite email o messaggi fasulli che impersonificano banche, istituzioni o servizi noti. Queste mail chiedono, ad esempio, di cliccare su un link per riattivare un conto bloccato, portando l’utente a un sito falso dove inserisce le sue credenziali, cedendole direttamente all’hacker.

Indovinare le password (guessing)

É uno dei sistemi più utilizzati. Funziona se l’utente ha scelto password banali, come il nome di un familiare o il nome dell’animale domestico (con un incrocio sui profili pubblici social sono informazioni banali da reperire) o le date di nascita proprie o dei propri cari (come prima, altrettanto banali da reperire). I sistemi più seri bloccano l’accesso dopo pochi tentativi (ad esempio, tre o quattro) per prevenire attacchi casuali e randomizzati… ,a talvolta diventa molto semplice accede.

Intercettazione (sniffing)

Consiste nell’intercettare una password mentre viene trasmessa su una rete. Questo è un rischio, ad esempio, quando si utilizzano reti wi-fi pubbliche non protette.

Shoulder surfing

Questa tecnica consiste nell’osservare qualcuno e acquisire le sue password direttamente mentre le digita su uno schermo.

Password memorizzate in modo non sicuro

L’abitudine di salvare le password scrivendole a mano su un foglietto lasciato in bella mostra o su un file di testo denominato “password” è un errore grossolano… ma ancora molto in voga!

sicurezza informatica

Sicurezza in azienda: un approccio strategico e organizzato

Per le aziende, la gestione delle password e la protezione dei dati è una questione di business continuity e rispetto normativo. Non si tratta solo di proteggere gli account social, ma l’intero ecosistema digitale (dati finanziari, proprietà intellettuale, informazioni dei clienti).

Le aziende devono adottare politiche chiare che impongano:

  • password policy rigorosa: richiedere password lunghe (minimo 12-15 caratteri), miste e non correlate a informazioni personali o aziendali (nome azienda, sede, ecc.).
  • adozione di password manager centralizzati: implementare un PM aziendale per generare, archiviare e condividere in modo sicuro le password di servizio tra il personale autorizzato.
  • MFA obbligatoria: impostare l’autenticazione a più fattori su tutti gli account critici (server, servizi cloud, vpn, email aziendale) per prevenire attacchi di spoofing o furto di identità.
  • formazione continua: il rischio di phishing e di ingegneria sociale è un rischio umano. Il personale deve essere formato costantemente sui metodi di attacco e sull’importanza di non comunicare le credenziali.

Le 10 peggiori password nel mondo: un errore da evitare

Le statistiche mostrano che le password più utilizzate e, di conseguenza, più vulnerabili sono quelle banali e sequenziali.
(fonte: splash data)

  1. 123456 (al primo posto dal 2013): la sua popolarità deriva dalla semplicità e dalla rapidità di digitazione
  2. password é l’archetipo della password debole
  3. 12345678 …possiamo definirla una lieve estensione della prima, ma altrettanto insicura
  4. qwerty sfrutta i tasti adiacenti sulla tastiera qwerty (q, w, e, r, t, y), rendendola estremamente facile e veloce da digitare, ma facilmente prevedibile dagli attacchi di tipo dictionary attack
  5. 12345 …è la versione pogra e ancora più insicura della sequenza numerica base
  6. 123456789 presenta l’estensione (quasi) completa della sequenza numerica
  7. letmein spesso usata dagli utenti in modo ironico o come richiesta letterale di accesso (let me in), ma è inclusa nei dizionari di attacco più comuni
  8. 1234567 …altra variante banale della sequenza numerica
  9. football (ma anche baseball soccer o altri sport popolari)
  10. iloveyou fa parte della categoria “sentimenti ed emozioni”, è usata per la sua facilità di memorizzazione ma è ovviamente tra le prime chiavi testate in attacchi su larga scala

Anatomia della password sicura per persone e aziende

L’unica password veramente sicura è quella che non si riesce a ricordare. La scelta della password non deve essere fatta con superficialità o perdendo tempo, ma seguendo precise caratteristiche. Una password sicura deve possedere le seguenti caratteristiche, essenziali per resistere agli attacchi:

  • sempre diversa: deve essere differente per ogni account. È l’unica garanzia per evitare che tutti i tuoi account vengano hackerati in un colpo solo.
  • lunga: è preferibile che sia lunga almeno 12 caratteri (ma anche di più). La lunghezza è una delle caratteristiche più cruciali per la sua efficacia.
  • mista: deve contenere tutti i tipi di carattere disponibili, lettere maiuscole e minuscole, numeri, caratteri speciali (come @, #, !, %, ecc.).
  • senza senso: non deve contenere nomi, parole o parti di parole che possano essere ritrovati automaticamente in un dizionario in qualsiasi lingua.

Un ottimo metodo per la creazione è collegare una frase o un’immagine che non c’entra nulla con il contesto, aggiungendo elementi casuali e caratteri speciali.

La password deve essere tenuta nascosta e protetta fisicamente

Non deve essere trascritta su fogli di carta o database facilmente accessibili. Documenti non protetti, come foglietti appiccicati al monitor, file sul desktop chiamati “password.txt” o note non cifrate su smartphone, sono le prime fonti di compromissione che un aggressore, anche fisico (shoulder surfing), sfrutterebbe.

Se la si scrive, magari come promemoria di una master password molto complessa, deve essere conservata con la stessa cura e attenzione riservata a oggetti di valore, magari in una cassaforte. Questo promemoria dovrebbe contenere solo la chiave principale di un password manager e non tutte le credenziali.

Non deve essere memorizzata se inserita in un dispositivo non personale. I browser e i sistemi operativi offrono spesso la funzione “ricorda password”, ma usarla su un computer condiviso in ufficio, in una biblioteca o in un internet point espone il vostro account al primo utente successivo.

Non deve essere comunicata ad altri, anche se sono persone di estrema fiducia. Cedere la propria password annulla ogni responsabilità e controllo sulla propria sicurezza. In azienda, per l’accesso a servizi comuni, si devono usare password di servizio gestite da un PM centralizzato, mai le credenziali personali.

 

Checklist essenziale per la sicurezza!

Usare una password diversa per ogni account. Attiva sempre l’autenticazione a due fattori (MFA). Scegli un solo Password Manager (gestore di password) affidabile e impara a usarlo correttamente. Evita di salvare password in file di testo o foto non criptati, o in foglietti lasciati in bella mostra. Controlla periodicamente le violazioni dei dati in cui le tue credenziali potrebbero essere state esposte (ad esempio, su siti come haveibeenpwned.com).

E se qualcosa non torna... contattaci per una consulenza personalizzata!

Approfondimento sulla sicurezza e i sistemi che ci permettono di migliorarla

sicurezza informatica

Il Password Manager (PM): una soluzione

Ricordare password complesse, lunghe, diverse e senza senso per decine di account diversi non è facile.
È qui che entrano in soccorso i Password Manager (PM), programmi o applicazioni che permettono di archiviare in modo sicuro tutte le chiavi d’accesso.

Cos’è e come funziona il password manager?

Il Password Manager (PM) funziona come una cassaforte digitale per tutte le vostre credenziali. Permette di salvare tutte le chiavi d’accesso e di proteggerle attraverso un’unica, potentissima chiave di sicurezza: la master password.
I password manager possono funzionare in modi diversi:

  • solo online (cloud): si salvano tutte le chiavi d’accesso su uno spazio cloud protette dalla master password.
  • tramite un programma (software): si scarica un software su computer o smartphone, si imposta la master password, e si proteggono le chiavi localmente.
  • integrati nel browser: i browser moderni (come Chrome o Firefox) offrono un servizio di PM, che compila automaticamente i campi di username e password ad ogni accesso.

L’utilizzo di un Password Manager (PM) richiederà inizialmente l’inserimento manuale o l’importazione delle credenziali, ma l’utilità è tale che non ne potremo farne a meno.

I password manager sono sicuri?

I Password Manager (PM) sono strumenti estremamente sicuri e affidabili. L’unico vero svantaggio risiede nella gestione della master password:

  • dimenticare la master password: nella maggior parte dei pm non esiste la funzione “ho dimenticato la password”. Dimenticare la chiave principale significa perdere irrimediabilmente l’accesso a tutte le password salvate. Per questo, talvolta viene generata una “chiave di sicurezza” (o secret key) da conservare con estrema cura per le emergenze.
  • farsi rubare la master password: se l’unico archivio di password è protetto da un’unica chiave, è fondamentale che questa sia fortissima.
sicurezza informatica

Multi-factor authentication (MFA) e OTP

Per innalzare ulteriormente i livelli di sicurezza, sono state introdotte tecniche di strong authentication o autenticazione a più fattori (in inglese multi-factor authentication, o MFA). Questa soluzione aggiunge un ulteriore livello di sicurezza e protegge con ampio margine i dati e le risorse it da furti di identità, spoofing (impersonificazione ingannevole) e phishing.

L’MFA (chiamata anche autenticazione a due fattori) richiede all’utente di fornire due o più fattori di verifica per provare la propria identità. Si fonda su tre elementi fondamentali:

  • conoscenza (qualcosa che solo l’utente sa): password, domande di sicurezza, codice PIN (in questo contesto, un codice numerico di accesso al sistema).
  • possesso (qualcosa che solo l’utente ha): un dispositivo (smartphone, token fisico, smartcard), one-time password (OPT) una password temporanea la cui validità è limitata a un solo uso (le OTP vengono spesso inviate tramite sms o generate da app specifiche come Google Authenticator.
  • inerenza (qualcosa che solo l’utente è): impronta digitale (biometria), riconoscimento facciale, riconoscimento vocale.

L’utilizzo di un fattore di possesso (come un codice OTP generato da app o sms) in aggiunta alla password (fattore di conoscenza) rende l’accesso estremamente sicuro, perché anche se un hacker ruba la password, non possiede il vostro dispositivo per ricevere il codice temporaneo.

Non rimandare la tua sicurezza a domani

Non accontentarti di aver letto: metti subito in pratica i consigli per la creazione di password e l’adozione di sistemi MFA.
Affronta la sicurezza digitale con una strategia professionale: la cyber-sicurezza evolve ogni giorno, resta al passo!

Contattaci per una consulenza o formazione personalizzata