Il mese scorso il mio post sulla sicurezza delle password utilizzate in ambito privato ha suscitato un certo interesse, così come il ‘decalogo’ scaricabile su come impostare una buona password.

Ciò significa che le persone sanno di avere un problema in questo senso. E le aziende? In fondo, soprattutto da quando è entrata in vigore la direttiva PSD-2 che impedisce di disporre bonifici con le sole user-id e password, i privati non rischiano più molto. Certo è possibile che qualcuno acquisisca la loro identità e li faccia apparire come mittente di email a sfondo pornografico o veicolo di virus. O rischiano un attacco di ransomware e vedersi codificato tutto il contenuto del loro hard disk. Ma non molto di più. Allegato a questo post troverete un breve whitepaper sul tema.

Porte aperte in azienda senza una password strategy

Dalla rete a strascico alla pesca d’altura

La scarsa redditività del privato cittadino è precisamente la ragione per la quale hacker e truffatori non si impegnano molto nel raggiungerlo. Usano ‘reti a strascico’ senza investire più di qualche secondo di tempo-macchina su ogni singolo utente. Diverso il discorso per un’azienda che ha una tesoreria, che potrebbe inviare diversi bonifici significativi ma non allarmanti a conti esterni prima che scattino degli allarmi. Un’azienda ha dati appetibili come una lista di clienti, un listino prezzi, dei disegni tecnici che potrebbero interessare a un concorrente senza troppi scrupoli. Insomma, l’azienda non è il pesciolino: è il blue marlin che vale la pena di cacciare per ore con grande impegno ed esche apposite.

Per l’azienda i rischi di una cattiva gestione delle password sono enormi. La manomissione dei sistemi di un’azienda può creare danni a terzi potenzialmente enormi (pensiamo all’adulterazione di prodotti di largo consumo o a un disastro ambientale) che possono porre fine alla sua stessa esistenza.

Perché cambiare frequentemente le password

Eppure le misure di sicurezza di molte imprese, anche medie e medio-grandi, in materia di password sono pari a quelle previste dai privati. Faccio un solo esempio. Poche imprese implementano una coerente strategia di sostituzione periodica delle password.

Perché è importante cambiare le password? Poniamo che, tornato dalla spesa al supermercato io debba scaricare la macchina, a volte mi occorrono più ‘viaggi’ per portare in casa tutti i sacchetti. Chiudo la porta a chiave ogni volta? Se si tratta di lasciare la porta aperta per qualche decina di secondi o due minuti, lo ammetto, non lo faccio.

Ma se scopro di dover tornare al super, lascio la porta aperta? Probabilmente no: due minuti è un rischio accettabile ma lasciare la porta senza chiuderla a chiave per un’ora è una cosa ben diversa.

Lo stesso ragionamento vale per le password. Le password ‘rubate’ dagli hacker che agiscono per pura provocazione e lasciate nelle ‘discariche del web’ a disposizione di ogni malfattore sono probabilmente più di un miliardo. Andate a vedere su www.ihavebeenpwned.com se c’è anche la vostra. Forse il loro numero aumenta al ritmo di 1000 password al minuto. Per dare una metrica, i furti in casa in Italia nel 2017 sono stati 234 mila: 0,5 al minuto. Insomma, i costi di non avere una strategia e una logica di gestione delle password possono essere rilevanti.

Una strategia per le credenziali

Una azienda, anche piccola, ha bisogno di qualcosa di più di una ‘buona password’: ha bisogno di una strategia per crearle, applicarle, sostituirle e soprattutto per definire a quale risorsa può accedere il titolare di una password.

Senza contare i costi in termini di tempo perso e fatto perdere agli help desk (un ottavo di tutti i ticket sono relativi a password dimenticate) da una gestione ‘artigianale’ del problema.

Oggi in un’azienda non si parla più di ‘parole d’ordine’ ma di credenziali di accesso e una credenziale di accesso è composta da una ‘trinità’ di elementi: la user-id (chi può accedere), un elenco flessibile di permessi e divieti di accesso (a cosa può accedere) e un sistema di identificazione (come può accedere). Come nei quadri antichi questa trinità è accompagnata da un coro di santi e angeli, in questo caso dei sistemi di audit che permettono di sapere chi ha acceduto a quale risorsa (file, servizio, stampante) quando e per quanto tempo.

Riccardo Montanaro (ceo), e.tere@ srl