ITV ha annunciato l’imminente lancio del suo nuovo spettacolo “Password”. un gioco di associazione di parole composto da squadre che ricevono indizi di una sola parola per indovinare una “password” misteriosa. Ma qual è la realtà nel decifrare la tua password?
I criminali informatici nella vita reale non dispongono di suggerimenti composti da una sola parola e sono incoraggiati da luci lampeggianti e voci comiche, ma la facilità e la capacità rimangono le stesse. Gli avversari non hanno più bisogno di “crackare” le password, le rubano semplicemente quando non sono crittografate. Quindi, i giochi o altro, non importa quanto sembrino “lunghe” o “forti” le password, sono metodi di autenticazione fondamentalmente imperfetti. Di conseguenza, le aziende hanno continuato a fare molto affidamento sulle password come metodo per autenticare gli utenti, lasciandoli esposti agli attacchi.
Rappresentando l’anello più debole nella catena di sicurezza di un’organizzazione, le password possono essere facilmente indovinate, ottenute attraverso tattiche intelligenti di ingegneria sociale o rubate se non crittografate, come quando un utente inserisce una password in un modulo web. Nonostante i tentativi di implementare metodi di autenticazione più sicuri, anche le soluzioni MFA (Multi-Factor Authentication) di prima generazione che combinano le password con un fattore aggiuntivo, come password monouso tramite SMS/e-mail o notifiche push, vengono spesso aggirate anche da utenti inesperti. aggressori.
Questa situazione rappresenta un rischio significativo per le organizzazioni. Secondo il Verizon Data Breach Report 2022, le credenziali sono il tipo più comune di dati compromessi sia negli Stati Uniti (66%) che nell’area EMEA (67%), con oltre l’80% delle violazioni dei dati direttamente correlate alle password derivanti da problemi correlati. Pertanto, il miglioramento delle misure di autenticazione e sicurezza continua a essere una priorità assoluta per i leader aziendali di tutto il mondo.
Quanto è facile decifrare una password?
Sfortunatamente, non esiste una password “forte” o “sicura”. La lunghezza e la complessità della password diventano significative solo quando gli aggressori utilizzano tattiche di forza bruta, provando milioni di combinazioni di caratteri e numeri finché non trovano una buona corrispondenza. Ad esempio, si presume spesso che una password di 12 caratteri con un mix di lettere maiuscole e minuscole, numeri e caratteri speciali impiegherebbe miliardi di anni per essere decifrata utilizzando la forza bruta. Tuttavia, gli hacker solitamente riescono ad accedere alle password utilizzando questo metodo.
In effetti, gli aggressori si affidano a tecniche di ingegneria sociale per indurre gli utenti a fornire direttamente le proprie password. Possono anche essere infettati endpoint con malware che rubano credenziali o utilizzano tecniche attacker-in-the-middle (AitM) per intercettare le password mentre attraversano in modo trasparente la rete. In questi casi la lunghezza della password diventa irrilevante perché malware può rubare una password lunga con la stessa facilità di una breve composta da sole quattro lettere o numeri. Pertanto, l’attenzione non dovrebbe concentrarsi solo sulla creazione di password “forti”, ma sull’utilizzo di misure di sicurezza aggiuntive per contrastare queste tattiche.
Cattive abitudini relative alle password
Recentemente, abbiamo assistito ad una crescente popolarità gestori di password con Google: e altre applicazioni che memorizzano le password degli utenti e forniscono una password casuale per fornire “maggiore protezione”. Sebbene fornisca un certo grado di sicurezza, dato che impedisce agli aggressori di utilizzare un unico set di credenziali rubate per più account, permangono ancora diversi problemi.
Anche quello il miglior gestore di password presenta limitazioni quando si tratta di fermare gli aggressori sull’endpoint o nel mezzo dei processi del flusso di accesso. Sebbene questi strumenti possano migliorare la sicurezza creando password complesse e uniche per gli utenti, non modificano sostanzialmente il processo di accesso. Un gestore di password fa proprio questo generatore di password, l’esperienza di accesso dell’utente rimane invariata. Inoltre, non forniscono una protezione completa contro gli attacchi di ingegneria sociale, poiché gli utenti ignari possono ancora essere manipolati per rivelare informazioni rilevanti agli aggressori, aggirando le protezioni di Password Manager.
Un altro svantaggio significativo dei gestori di password è che centralizzano il rischio per gli utenti e creano un bersaglio allettante per gli hacker. Se gli aggressori riescono a rubare la password principale da un fornitore di gestori di password, potrebbero potenzialmente ottenere l’accesso a tutte le credenziali del cliente in una volta sola. Questa concentrazione di informazioni sensibili può portare a gravi conseguenze in caso di violazione riuscita. Un esempio reale di questo rischio si è verificato nel dicembre 2022 quando LastPass: ha rivelato un incidente in cui gli hacker hanno avuto accesso ai backup dei dati dei loro clienti. Tali incidenti evidenziano le vulnerabilità associate al forte affidamento sui gestori di password come unica protezione contro le minacce alla sicurezza.
La soluzione: Autenticazione senza password
Le organizzazioni ora hanno la possibilità di passare a un sistema MFA (Multi-Factor Authentication) moderno e altamente sicuro senza password che resiste efficacemente ai tentativi di phishing. Questo approccio avanzato utilizza dati biometrici e password, seguendo gli standard stabiliti dall’alleanza Fast Identity Online (FIDO). Questa associazione di settore opera apertamente con l’obiettivo primario di ridurre la dipendenza del mondo dalle password stabilendo solidi standard di autenticazione.
La missione della FIDO Alliance include la promozione e il supporto dello sviluppo, dell’uso e dell’adesione agli standard di autenticazione e certificazione dei dispositivi. I suoi sforzi mirano a rivoluzionare l’autenticazione offrendo standard aperti che vanno oltre la sicurezza fornita dalle password, pur essendo più facili da usare per i consumatori e più facili da implementare e gestire per i fornitori di servizi.
Adottando queste innovative tecnologie senza password, le aziende possono aumentare significativamente le proprie difese contro gli avversari che tentano di penetrare nei loro sistemi. Inoltre, solleva gli utenti dal peso della gestione delle password, una responsabilità di cui vogliono liberarsi. L’adozione di sistemi di autenticazione basati su FIDO rappresenta un passo importante per aumentare la sicurezza generale e la comodità dell’utente per le organizzazioni di tutto il mondo.
Dato che le password rimangono una caratteristica fondamentale per molte aziende e anche per i nuovi programmi di gioco, l’adozione di un approccio senza password può sembrare un’impresa ardua per il team di sicurezza informatica di un’organizzazione. Tuttavia, l’adozione di un approccio di autenticazione senza password è fondamentale per qualsiasi azienda che cerchi di avere una protezione completa attraverso una solida strategia di sicurezza. Rimuovi le password e rimuovi l’anello debole della tua difesa.
Abbiamo elencato i migliori software di gestione delle identità.
