Quello delle password è un problema costante che nel 2020 continua a persistere nonostante la mole di dati a disposizione nel web per l’alfabetizzazione degli utenti informatici.
La pandemia ha posto ancora più l’accento su un problema già enorme: quello della sicurezza dei dati in azienda. Molte organizzazioni hanno capito (tardi, purtroppo) quanto sia importante prendere provvedimenti all’interno della propria rete per implementare misure di sicurezza per la protezione dei dati business-critical. Ancora oggi, però, c’è un aspetto fondamentale che non viene preso abbastanza sul serio: quello delle password.
In tema di sicurezza informatica le password sono alla base, poiché password deboli o già violate possono creare un’enorme falla all’interno dell’intero sistema informativo aziendale, assolutamente da non sottovalutare.
Senza contare le password deboli più diffuse come il nome dell’azienda, l’anno in corso, il giorno del compleanno, le successioni di numeri continui etc etc (potremmo scrivere un articolo solo sulle password più comuni e semplici da individuare) ci sono alcune password facilmente violabili che spesso sfuggono anche ai responsabili della sicurezza in azienda. Quali sono?
Avete mai sentito parlare di password pwned? Si tratta di password precedentemente violate che vengono utilizzate dai cybercriminali per lanciare attacchi su ambienti, anche diversi da quelli già violati, irrorando i vari account con le stesse password precedentemente individuate.
Questa tecnica si basa su un principio molto semplice: in organizzazioni diverse, gli utenti tendono comunque a pensare in modi molto simili quando si tratta di creare password che possano ricordare. Spesso le password esposte in altre violazioni saranno le stesse che altri utenti utilizzeranno in ambienti completamente diversi. Il rischio di violazione diventa quindi molto alto poiché una qualsiasi violazione di una password potrebbe esporre al rischio molti account su sistemi completamente diversi.
Le conseguenze per le aziende potrebbero essere altissime, dai rischi di compromissione, ai ransomware, fino a minacce di violazione dei dati anche business-critical. Esistono diversi strumenti per mitigare i rischi legati alle password negli ambienti informativi aziendali.
Innanzitutto, non può mancare una corretta formazione di tutto il personale sulla sicurezza in rete. Un qualsiasi account, anche quello con meno privilegi all’interno del sistema, se mal gestito potrebbe mettere a rischio l’intera organizzazione. Le violazioni non sono rare, ma le aziende che scelgono di dotarsi di team di professionisti in cybersicurezza riescono a rendersi conto delle falle dei sistemi da subito, correndo immediatamente ai ripari e prevenendo la violazione dei dati prima che sia troppo tardi e l’intero sistema venga compromesso.
Per la salvaguardia delle password esistono diversi strumenti molto utili, come le API che operano sia in locale sia in ambienti cloud. Oggi vi parliamo di Specops Password Auditor, Azure AD Password Protection e API “Have I Been Pwned” (HIBP). Quello che va sottolineato è che nessuno di questi strumenti è infallibile, anzi!
Specops Password Auditor è uno strumento gratuito che permette ai responsabili IT di scansionare l’ambiente e individuare le password mancanti, quelle violate, quelle uguali tra loro, quelle in scadenza, quelle non richieste, quelle senza scadenza e gli account amministratori (anche quelli non più in uso). Il valore aggiunto di questo sistema è che effettua continuamente controlli su database di password violate, rimanendo aggiornato sulle password pwned e garantendo un ambiente sempre aggiornato sulle ultime informazioni disponibili in materia di sicurezza.
Azure AD Password Protection, invece, è uno strumento messo a disposizione da Microsoft che rileva e blocca le password deboli note e le relative varianti. E’ in grado anche di bloccare termini specifici nell’ambiente in questione, come ad esempio il nome dell’azienda o l’anno corrente. Questo strumento entra in funzione durante il cambio password, impedendo agli utenti di impostare password deboli o bloccate secondo parametri decisi dagli amministratori IT. Questo sistema però, non include gli elenchi di password precedentemente violate, ponendo quindi un grande limite alla sicurezza aziendale. Sono molti i limiti di questo strumento. Ad esempio, seppur vero che sia in grado di bloccare password contenenti il nome dell’azienda o simili, non riconosce se l’utente utilizza ad esempio il nome del proprio animale domestico come password. Altrettanto debole e facilmente individuabile anche dai meno esperti.
Esistono anche alcuni strumenti online molto utili per garantire la sicurezza delle password. Uno di questo è l’API “Have I Been Pwned” (HIBP), un sito ideato da Troy Hunt, esperto in sicurezza informatica che ha deciso di mettere a disposizione degli utenti risorse utili per acquisire consapevolezza rispetto alle minacce alla sicurezza aziendale. Utilizzando HIB le organizzazioni possono scoprire se le password nel loro ambiente sono state precedentemente esposte a eventi di violazione dei dati. Lo strumento consente chiamate API in tempo reale da varie applicazioni software all’API HIBP per controllare le password utilizzate su più moduli software. Tra le informazioni che si possono ricavare con HIBP ci sono le violazioni di account, i siti violati del sistema, i singoli siti violati e le classi di dati.
Nonostante esistano tool e i programmi per l’individuazione di password pwned non bisogna mai dimenticare che non saranno mai abbastanza efficaci dal momento che sono in grado di eseguire le verifiche esclusivamente in fase di modifica o rinnovo delle password.
Gli strumenti a disposizione delle aziende sono molteplici e possono essere utili esclusivamente se affiancati da un investimento in termini di security awareness per tutti gli utenti che hanno accesso ai sistemi aziendali. Senza le giuste competenze in sviluppo, una corretta formazione del personale e, soprattutto, senza un team dedicato alla sicurezza dei sistemi informatici aziendali, risultano però del tutto insufficienti. La sicurezza degli utenti finali e dei dati business critical dovrebbe essere la priorità per ogni azienda e la sicurezza delle password è alla base di ogni programma di cybersecurity.