password

A dodici anni dalla nascita della Giornata Mondiale delle Password, l’era delle password tradizionali sembra avviarsi al tramonto. L’avanzata dell’intelligenza artificiale nelle mani dei cybercriminali e la crescente vulnerabilità delle password statiche rendono urgente il passaggio a sistemi di autenticazione più sicuri. A lanciare l’allarme è Clusit, l’Associazione Italiana per la Sicurezza Informatica, che sollecita una rapida sostituzione delle classiche combinazioni di caratteri alfanumerici con sistemi di autenticazione multifattoriale (MFA) e biometria.

“Le password sono un rischio che va superato”, ha dichiarato Alessio Pennasilico, del comitato scientifico di Clusit.  “Ai criminali informatici bastano pochi secondi per decifrare anche le password più complesse, grazie all’utilizzo di algoritmi avanzati e all’ampia disponibilità di database di credenziali compromesse”.

Secondo Clusit, l’80% delle violazioni informatiche avviene ancora a causa di password deboli o riutilizzate. “L’utilizzo di password semplici e uguali per diversi servizi, insieme al mancato aggiornamento dei nostri dispositivi, mette quotidianamente a rischio la nostra sfera digitale e sappiamo bene quanti aspetti della nostra vita personale siano ad essa collegati”, aggiunge Pennasilico. “Oggi, affidare ai servizi di autenticazione multi-fattore e alla biometria la nostra sicurezza digitale è l’unica forma di sicurezza possibile”. 

Biometria e MFA: la nuova normalità

Clusit sottolinea la necessità di adottare autenticazione multifattoriale (MFA) e biometria, soluzioni già disponibili e spesso gratuite, che dovrebbero rappresentare la nuova base minima per la sicurezza personale e professionale.

I sistemi biometrici, basati su caratteristiche uniche e difficili da falsificare come impronte digitali e riconoscimento facciale, garantiscono un’autenticazione rapida e sicura, spiega Luca Bechelli, del Comitato Direttivo di Clusit. Tecnologie come il liveness detection (la verifica che le caratteristiche biometriche siano rilevate in tempo reale direttamente dalla persona, e non da materiale digitale riutilizzato) rafforzano ulteriormente la protezione, impedendo i tentativi di spoofing attraverso immagini o video.

L’autenticazione multifattore, invece, aggiunge ulteriori livelli di verifica, riducendo il rischio di accesso non autorizzato del 99,9%. Anche in caso di compromissione della password, gli attaccanti devono superare barriere ulteriori, come codici temporanei inviati al dispositivo o verifiche biometriche, rendendo molto più difficile il successo dell’attacco. Un approccio cruciale per contrastare attacchi sofisticati come phishing e credential stuffing, attacco che utilizza per lo più bot per accedere a diversi siti web con credenziali di accesso rubate o compromesse, approfittando della cattiva abitudine di molti utenti di riutilizzare le stesse password per più servizi.

https://clusit.it/area-stampa/

L'articolo World Password Day, Clusit: più sicurezza senza le password, sì a MFA e biometria proviene da Rivista Cybersecurity Trends.

Nell’era digitale, quasi ogni attività quotidiana – dal lavoro alle comunicazioni personali, dagli acquisti online alla gestione dei conti bancari – richiede l’uso di una password. Queste credenziali rappresentano la nostra prima linea di difesa contro accessi non autorizzati, ma troppo spesso vengono gestite in modo inadeguato.

I dati più recenti evidenziano una realtà allarmante: la quasi totalità degli attacchi alle identità digitali ha origine da password deboli, prevedibili o riutilizzate.

Per aiutare a restare sicuri online e proteggere i propri dati, le esperte di Women For Security hanno condiviso questa serie di best practices per gestire in modo efficace le password, sia personali che aziendali.

Creare una password

1. «Scegli combinazioni complesse e preferisci Passphrase: una combinazione di parole casuali come “Mare!rossO$ole19” è più sicura rispetto a una password tradizionale.
2. Non riutilizzare le password: se una password viene compromessa, tutti gli account che la utilizzano associata al medesimo utente diventano vulnerabili.
3. Escludi informazioni personali: nomi, date di nascita, animali domestici sono facili da individuare a causa dell’esposizione di dati e informazioni online (ad es. social media).
4. Valuta con attenzione i suggerimenti automatici: molti siti web suggeriscono la creazione di password considerando regole obsolete. Analizza i parametri suggeriti e ignorali creando password più complesse, se non ti sembrano sufficientemente esigenti.
5. Utilizza Passkeys. Si tratta di un sistema di autenticazione avanzato che permette di accedere ai servizi online senza utilizzare password tradizionali, basate su crittografia asimmetrica che utilizza una coppia di chiavi: una pubblica memorizzata dal servizio e una privata conservata in modo sicuro sul dispositivo dell’utente tramite Biometria (impronta digitale, riconoscimento facciale) oppure PIN.

Gestire una password

1. Evita la condivisione di password: anche con persone fidate. Mantieni le credenziali private e se proprio devi condividerle non farlo in chiaro esponendo utente e password nello stesso messaggio ma separatamente e con mezzi differenti. Esistono sistemi di condivisione credenziali protetti da crittografia, con scadenza temporale per la visualizzazione e limite di accessi.
2. Utilizza un Password manager: uno strumento di gestione password che aiuta a memorizzare e generare credenziali sicure. Questi sistemi conservano le credenziali tramite crittografia accessibile solo con master password e sono una sorta di cassaforte virtuale, che sostituisce l’uso di pericolosi file excel di riepilogo password o annotazioni cartacee.
3. Aggiorna le password: stabilisci una frequenza di aggiornamento delle credenziali, senza cambiarle troppo spesso. Cambiare le password è importante per evitare rischi di compromissione ma una frequenza troppo elevata potrebbe portarti a generare password deboli.
4. Verifica le compromissioni. Esistono strumenti online e applicazioni per controllare se le nostre password sono trapelate in un data breach.

Gestire gli accessi

1. Molti browser permettono di memorizzare le password ma i dati potrebbero essere esposti se non è presente un sistema di crittografia: non salvare mai le password nel browser per velocizzare l’accesso a servizi.
2. Utilizza sistemi di autenticazione a due fattori (2FA) o autenticazione multi-fattore (MFA). Applicazioni di autenticazione o token temporanei sono le soluzioni più sicure, il metodo tramite SMS è invece più facile da intercettare. Usare questi metodi offre un livello di protezione aggiuntivo per gli account in caso di furto della password;
3. Elimina applicazioni inutilizzate: tutto ciò che è superfluo comporta un’esposizione e un rischio evitabile. Disattiva accessi, applicazioni, utenze non più necessarie.

Le normative, gli standard di sicurezza vigenti e organizzazioni preposte supportano le aziende con linee guida riguardo la gestione dei dati in sicurezza. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato delle indicazioni sulla gestione e conservazione delle password, in collaborazione con il Garante per la Protezione dei Dati Personali. Standard internazionali come ISO/IEC 27001 includono requisiti e raccomandazioni per impostare e gestire la sicurezza delle informazioni in azienda.

Il rischio informatico non è solo una tematica aziendale e spesso viene sottovalutato in ambito personale. Siamo stanchi di dover ricordare password complesse, di gestirne molte e sempre diverse, di imparare nuovi metodi sicurezza e documentarci rispetto a tecnologie in costante evoluzione e così si crea un grande divario tra teoria e pratica.

Tutti sappiamo cosa dovremmo fare ma la comodità vince sulla sicurezza, fino a quando perdiamo i nostri dati e di conseguenza la nostra privacy e sicurezza vengono compromesse.

La vera sfida è cambiare mentalità: abituiamoci a strumenti sicuri, impariamo ad utilizzarli, proteggiamo i nostri dati personali e aziendali».

https://womenforsecurity.it/dettaglio/101

L'articolo Come proteggere i dati con password più sicure. I consigli di Women For Security proviene da Rivista Cybersecurity Trends.