La gestione sicura delle password nelle aziende

Molte aziende, soprattutto quelle che lavorano in ambito tecnico e digitale, hanno bisogno di una comunicazione continua e della condivisione di file online. Pertanto, la condivisione degli account è spesso necessaria in un ambiente di lavoro collaborativo. Ciò significa che i dipendenti devono trovare un modo semplice per condividere l'accesso e le password tra loro, preferibilmente senza rischiare di esporre l'azienda a un attacco informatico. Un messaggio tramite un servizio di messaggistica o un'e-mail a un collega può essere il modo più rapido per condividere le password. Ma è un modo insicuro e rischioso che espone l'intera azienda a un elevato rischio di attacco informatico.

Il modo sicuro di scambiare le password

Su Rapporto sul censimento della cibersicurezza 2022 Keeper Security ha rilevato che solo il 13% delle aziende intervistate in Germania è ben equipaggiato con un sistema di controllo delle identità, il 56% fornisce almeno istruzioni ai propri dipendenti e il 31% lascia il controllo delle identità, compresa la gestione delle password, ai propri dipendenti. O non tutti sembrano essere consapevoli del rischio o questo viene accettato.

Il modo più sicuro per memorizzare e condividere le password è un gestore di password su un dispositivo protetto da password. I gestori di password offrono spesso più livelli di crittografia che rendono praticamente impossibile per i cyber-attaccanti trovare ciò che stanno cercando in modo leggibile. Con la crittografia a conoscenza zero, nessuno oltre all'utente può vedere i dati, nemmeno il fornitore del gestore di password e nemmeno un malintenzionato.

Alcuni strumenti di gestione delle password, soprattutto per uso aziendale, offrono funzioni di condivisione sicura. Questi consentono di concedere facilmente ai dipendenti l'accesso condiviso senza rivelare i dettagli di nome utente e password. Nei gestori di password è auspicabile anche l'autenticazione a più fattori (2FA/MFA), che può essere applicata a livello di ruolo. In generale, si raccomanda di abilitare la 2FA/MFA su tutte le piattaforme per migliorare la sicurezza dell'azienda e dei team.

Metodi rischiosi per l'invio e la memorizzazione delle password

La condivisione delle password è molto diffusa tra gli utenti di Internet all'interno e all'esterno del luogo di lavoro. Un'indagine di La Zebra, NBC News e il Pew Research Center ha rilevato che il 79% degli utenti ha ammesso di condividere le password con qualcuno al di fuori della propria abitazione.

Le aziende che non utilizzano un gestore di password potrebbero utilizzare metodi poco sicuri per memorizzare e condividere le password. Ciò può comportare perdite finanziarie e un aumento del rischio di attacchi informatici. Nel Cybersecurity Census Report 2022, l'impatto di un attacco informatico nella sola Germania era compreso tra 10.000 e 49.999 euro.

Sei metodi da evitare quando si tratta di password

Gli utenti che non utilizzano le funzioni di un buon gestore di password utilizzano molti metodi diversi per scambiarsi i dati di accesso segreti. In queste circostanze, in un'azienda non c'è alcuna garanzia che solo chi è autorizzato ad accedere alle password vi abbia accesso, né che i dati segreti di accesso non cadano nelle mani di terzi non autorizzati. Sei dei metodi più popolari e rischiosi sono:

• Documenti online: Apple Notes, Google Docs, Microsoft Word e altri programmi online per prendere appunti sono modi semplici per annotare informazioni, ma questi strumenti non sono stati progettati per archiviare e condividere credenziali private. In Keeper Rapporto sulle password sul posto di lavoro 2021 Il 49% degli intervistati ha confermato di aver memorizzato le password relative al lavoro in un documento cloud. Il 51% memorizza le password in un documento sul proprio computer e il 55% memorizza le password relative al lavoro sul proprio cellulare. Sebbene alcuni documenti possano essere protetti da password, molte piattaforme software per documenti non offrono la crittografia, la verifica in due passaggi o altre misure di sicurezza aggiuntive. Un utente non autorizzato che riesce a mettere le mani o a violare un dispositivo può facilmente copiare il documento e inviarlo a se stesso, ottenendo l'accesso a tutte le informazioni contenute nel file.
• E-mail: Le e-mail sono una delle forme di comunicazione più diffuse sul posto di lavoro. Di solito vengono inviati in chiaro e senza crittografia. Se una casella di posta elettronica è compromessa, le persone non autorizzate hanno pieno accesso alle password inviate via e-mail. Inoltre, le password inviate via e-mail passano spesso attraverso più sistemi e server e una copia si trova nella cartella "Inviati". E anche se le e-mail sono state eliminate, possono essere conservate in altre cartelle dell'account, come la cartella "Eliminati". Le e-mail archiviate localmente sul disco rigido del dispositivo, anziché presso il provider, sono ulteriormente a rischio in caso di potenziale furto del laptop, del tablet o del telefono cellulare.
• Messaggi di testo/SMS: Come per i servizi di posta elettronica, anche per i messaggi di testo non c'è sicurezza. Il messaggio di testo può essere letto da chiunque sia in grado di intercettarlo. Anche in questo caso, se un dispositivo mobile non è protetto da password e cade nelle mani sbagliate, l'utente non autorizzato ha accesso a tutte le conversazioni e ai messaggi privati. Lo stesso vale se il dispositivo è compromesso.
• Messaggeria online: WhatsApp, Slack e Microsoft Teams sono strumenti molto diffusi per la comunicazione tra i dipendenti, per aggiornamenti rapidi sui progetti o per conversazioni casuali. Sebbene molti di questi servizi cloud siano crittografati, le applicazioni sui dispositivi rimangono solitamente aperte o vengono eseguite in background. Se il dispositivo viene utilizzato in un ambiente pubblico ed è parzialmente incustodito, chiunque può accedere alle password in pochi secondi. Ad esempio, nel giugno 2021, un gruppo di criminali informatici ha utilizzato Slack per farsi aiutare da un dipendente a penetrare in EA Games. Il gruppo è riuscito ad acquisire i cookie rubati, che ha utilizzato per accedere a un canale Slack di EA. Hanno poi inviato un messaggio ai membri dell'assistenza IT sostenendo di aver perso il telefono a una festa.
• Documenti fisici: Scrivere le password su un quaderno o su un pezzo di carta può impedire ai criminali informatici di accedere alle credenziali. Tuttavia, le credenziali possono essere facilmente rubate da una persona non autorizzata nel mondo offline. Anche scrivere le credenziali e condividerle in ufficio è pericoloso se il documento fisico viene smarrito.
• Condivisione verbale: Anche se una conversazione personale con un collega elimina il classico pericolo della carta e dell'online, comporta dei rischi perché i dati di accesso possono essere pronunciati ad alta voce e quindi ascoltati. Inoltre, le password di solito non sono particolarmente sicure con questo metodo, poiché i caratteri speciali che a volte non si trovano sulla tastiera potrebbero non essere inclusi nella password. Un altro pericolo, seppur minimo, è che la conversazione venga registrata.

Ulteriori informazioni: KeeperSecurity.com