È ormai assodato che le password giocano un ruolo determinante nell’efficacia delle misure di cyber security aziendali. Sono sempre state importanti, oggi lo sono ancora di più perché, complice la pandemia, le persone trascorrono più tempo online e hanno moltiplicato il numero di servizi a cui sono iscritte, allargando la superficie di rischio.
LastPass ha condotto una indagine sui comportamenti in merito alla sicurezza delle password, interpellando 3.750 professionisti in sette Paesi. Il 70% degli interpellati ha confermato di trascorrere più tempo online sia per l’intrattenimento sia per lavoro. Tuttavia, sono in pochi ad avere adottato politiche di gestione delle password capaci di fronteggiare le minacce informatiche.
Il 65% delle persone intervistate ha confessato di o riciclare la stessa password una sua variante su più account, pur sapendo che ciò rappresenta un rischio per la sicurezza. Il 45% degli utenti non ha cambiato le password nemmeno dopo che si è verificata una violazione dei dati.
L’errore più diffuso è quello di scegliere quali account proteggere, dimenticando che una violazione di un account banale può attuare un effetto domino che a catena comporta la violazione anche di quelli importanti.
È per questo che, invece di scegliere quali account proteggere, bisogna considerare vulnerabili tutte le credenziali e bisogna convincersi che è necessario creare password univoche per ogni account. Una teoria che la maggior parte degli interpellati conosce bene, ma non la applica all’atto pratico. Secondo le risposte al sondaggio, infatti, il 92% dice di conoscere il rischio del riciclo delle password per più account. Tuttavia il 65% lo fa comunque.
La maggior parte giustifica questo atteggiamento con la difficoltà di memorizzare più password complesse differenti. Un problema comune, che si aggira facilmente non con il riciclo, ma con l’adozione di un gestore di password. Da una parte genera password di complessità sufficiente per garantire la protezione degli account. dall’altra le tiene in memoria in maniera sicura. La maggior parte dei software esiste sia in versione desktop che mobile, e basta attivare il riempimento automatico per non dover nemmeno digitare le chiavi di sicurezza.
L’iniziativa personale, tuttavia, dev’essere affiancata da policy aziendali stringenti sull’argomento. I reparti IT devono stabilire pratiche standard in materia di password aziendali conformemente a strategie di sicurezza ben pianificate. A questo riguardo, dal sondaggio risulta che il 35% dei datori di lavoro ha invitato i dipendenti ad aggiornare regolarmente le password. E che il 39% delle aziende ha fatto in modo che i dipendenti accedessero alle app aziendali tramite reti protette.
Tuttavia anche queste policy sono poco efficaci se non seguite da controlli capillari e attività di sensibilizzazione sul tema. Come dimostra la ricerca, il 47% dei dipendenti che lavora da remoto non ha cambiato le proprie abitudini in materia di sicurezza. La soluzione passa per la formazione: far comprendere alle persone i rischi legati all’uso lacunoso delle password è un primo passo. Simulazioni continue di campagne di phishing fanno comprendere gli errori che portano al furto di password e aiutano a prevenirli.
