Caro/a collega: come ricordi le tue password?
Caro/a collega: come ricordi le tue password?

Caro/a collega: come ricordi le tue password?

Autore: Davide Bertarelli

L'accesso ai servizi e alle applicazioni aziendali è uno dei punti maggiormente critici, in termini di sicurezza, di ogni organizzazione. Come già evidenziato in un precedente articolo (L’autenticazione MFA è sufficiente?), i principi Zero Trust richiederebbero verifiche forti nella fase di autenticazione dell'utente e del suo dispositivo.

 

La realtà dei fatti, tuttavia, è che la maggior parte dei sistemi di autenticazione prevede l'utilizzo di una password, sia come parte di una autenticazione multi-fattore (nome utente, password e terzo fattore), sia come autenticazione a singolo fattore (solo nome utente e password). E' altresì vero che, per il medesimo utente, non sempre si riesce ad adottare una autenticazione multi-fattore per tutte le applicazioni e i servizi aziendali, interni ed esterni: basti pensare all'utente on-premise di Active Directory, ma anche all'innumerevole quantità di applicazioni aziendali o servizi SaaS che utilizzano un proprio sistema di autenticazione. Queta situazione è ben illustrata anche nell'ultimo Rapporto del Clusit di Ottobre 2023

PWS Manager 4wardPRO

Questo scenario ci ricorda che al momento la password rappresenta ancora un elemento importante nel processo di autenticazione, prima che i sistemi di autenticazione passwordless siano integrabili e utilizzabili con l'enorme, e non sempre aggiornato, parco applicativo.

 

"Se ricordi la tua password, probabilmente, non è una buona password"

 

Secondo le più comuni best practices chiediamo ai nostri colleghi e colleghe di "…usare password diverse per ogni applicazione" e "…non usare password banali o ripetitive". Se seguissero le nostre indicazioni di sicurezza ciascuno di loro dovrebbe usare diverse decine di password e tutte differenti, e magari complesse

 

Secondo i dati del Microsoft Digital Defense Report 2023 solo per gli accessi a Microsoft Entra, il numero di tentativi di attacchi password-based è aumentato notevolmente lo scorso anno e, nel solo mese di Giugno, sono stati rilevati 158 milioni di password riutilizzate nell'accesso a siti web. 

 

PWS Manager 2 4wardPRO

Password based attacks spiked in 2023

 

Ma come fanno le persone a ricordare le password? Come pretendiamo che riescano a farlo? La soluzione che ciascun utente trova autonomamente a questo problema può diventare un vostro problema di sicurezza (…elenchi di password in documenti sul desktop) o di gestione (strumenti fuori dal controllo dell'organizzazione). 

 

Enterprise Password Management

Una soluzione di Enterprise Password Management (EPM) è uno strumento fornito agli utenti che consente alle organizzazioni di memorizzare e gestire, in modo efficiente e sicuro, le loro password. Una soluzione di EPM consente quindi agli utenti di avere uno strumento aziendale per creare password efficaci e memorizzarle in modo sicuro.  All'organizzazione l'EPM offre diversi benefici, tra cui: il miglioramento della cultura della sicurezza, la riduzione dei rischi di accessi indesiderati e di violazione dei dati, il miglioramento della produttività.

Non tutte le soluzioni di EPM però sono uguali, e alcune caratteristiche sono fondamentali per garantire il massimo livello di protezione e integrazione.

Difficile oggi parlare di servizi aziendali senza riferirsi a soluzioni cloud: ma quali certezze offre una soluzione cloud per la gestione delle password di una organizzazione?  Una soluzione di EPM che adotta un'architettura Zero knowledge significa che solo l'utente finale ha accesso alle proprie password, che sono criptate in modo end-to-end, cioè dalla sorgente al destinatario. Questo impedisce che le password possano essere intercettate, rubate o compromesse da terze parti, anche dal fornitore stesso del servizio che quindi non ha capacità di conoscerle (da qui il termine zero knowledge). Quindi, una soluzione di EPM con questa architettura garantisce all'organizzazione la sicurezza della password dal service provider e all'utente finale il mantenimento del pieno controllo delle proprie credenziali.

 

Quali opportunità offre una soluzione EPM?

Una soluzione EPM offre diversi opportunità sia all'organizzazione che all'utente finale per definire, memorizzare e gestire le credenziali e le password che gli utenti aziendali devono utilizzare in servizi e applicazioni.

 

Dal punto di vista dell'utente disporre di uno strumento aziendale per generare e memorizzare password (e le altre informazioni relative alle credenziali per l'accesso ad applicazioni o servizi) permette di rispondere ai requisiti di uso delle password richieste dall'organizzazione e poterle memorizzare con un metodo univoco e sicuro (il vault). Lo strumento può consentire inoltre all'utente la temporanea e sicura condivisione di credenziali ad altro collega, come può risultare necessario in alcune condizioni.

Una buona soluzione EPM consente inoltre l'accesso alle proprie password da qualsiasi dispositivo, sistema operativo o browser. Grazie ad applicazioni dedicate per Windows, Mac, Linux, Android e iOS, oltre a estensioni per i principali browser web, gli utenti possono accedere alle loro password in modo semplice e veloce, senza doverle ricordare o inserire manualmente.

 

All'organizzazione una soluzione EPM permette di stabilire regole di sicurezza minime, chiare e comuni, per la generazione e memorizzazione delle password per gli utenti, controllandone l'efficacia e l'utilizzo. Pur non avendo accesso o visibilità delle password memorizzate dai propri utenti, tramite una soluzione EPM l'organizzazione è in grado di:

  • misurare l'uso dello strumento EPM fornito agli utenti grazie a strumenti di monitoring;
  • verificare l'effettiva conformità delle password memorizzate dagli utenti in termini di complessità e unicità;
  • verificare la compromissione di credenziali aziendali memorizzate, tramite funzionalità di Dark Web Monitoring.

 

Ciascuno degli elementi di controllo sopra descritti dovrebbero, inoltre, essere oggetto di notifiche (alerts), possibilmente integrati con il SIEM e/o altre soluzioni di sicurezza aziendale, in modo da gestire rapidamente e in modo efficace le anomalie riscontrate.

L'EPM è, infatti,  in grado di rilevare e registrare tutti gli eventi relativi alle password, come la creazione, la modifica, l'accesso, la condivisione e la revoca. Questi dati possono essere visualizzati in report dettagliati che mostrano le statistiche, le tendenze e le anomalie. In questo modo, si può verificare il rispetto delle policy, individuare eventuali violazioni o incidenti e intervenire tempestivamente.

Non dimentichiamo inoltre che in termini di sicurezza, anche l'accesso alla stessa soluzione EPM da parte dell'utente deve rispettare i corretti criteri. L'integrazione con l'Identity Provider (IdP) aziendale, come Microsoft Entra ID, risulta fondamentale, sia per il provisioning/deprovisioning degli utenti, che per l'utilizzo di una autenticazione forte integrata.

 

Se non hai ancora una soluzione EPM, e stai per indicare ad un utente aziendale di definire una nuova password chiedigli: "caro/a collega: come ricordi le tue password?". Ma se non vuoi una risposta che potrebbe non piacerti contattaci per effettuare un'analisi delle tue esigenze specifiche e definire la soluzione EPM più adatta per te.  

 

Davide Bertarelli

Davide Bertarelli

Nel corso degli ultimi trent'anni ha svolto attività di sviluppo software, system administration, consulente, team leader e trainer.
Microsoft Cybersecurity Architect e Microsoft Certified Trainer ha svolto attività divulgativa, di formazione, e consulenziale per diverse tecnologie, per aziende a carattere nazionale e internazionale.
Negli ultimi cinque anni ha focalizzato le proprie energie nell'ambito della Cybersecurity per accompagnare aziende e organizzazioni, in sicurezza, nella loro trasformazione digitale.