Sicurezza aziendale vanificata dalle password condivise?

La maggior parte dei dipendenti non compromette
intenzionalmente la sicurezza aziendale; dovresti comunque chiederti che
pratiche relative alle password impiegano per far fronte alla proliferazione
degli account online che le richiedono. Secondo uno studio frequentemente
citato, svolto da Microsoft Research, “Un utente medio ha 6,5 password e
ciascuna di esse è condivisa su 3,9 siti web diversi. Ogni utente ha circa 25
account che richiedono delle password e digita in media 8 password al
giorno.”

Un sondaggio condotto da Dashlane nel 2015 ha rivelato che
ogni persona ha più di 90 account online e nell’anno precedente ha dovuto
resettare la sua password, usando un link “hai dimenticato la
password” per 37 di questi account. Le aziende che richiedono un frequente
reset delle password rendono agli utenti ancora più difficile creare password
forti e poi richiamarle alla memoria. In questo tipo di circostanze è
comprensibile che gli utenti abbiano semplificato le loro password – creandole
in modo che possano essere serializzate – e limitandole a poche usate per
accedere ad account multipli.

 

Questa tendenza è evidente quando si dà un’occhiata alla lista delle peggiori password usate:

 https://fortune.com/2017/12/19/the-25-most-used-hackable-passwords-2017-star-wars-freedom/

 

Come fanno gli hacker a rubare le credenziali?

Siccome i nomi dell’utente e le password costituiscono spesso l’unico ostacolo per accedere a quei sistemi dove trarre del vantaggio economico, gli hacker manifestano un vivo interesse nel prelevarli laddove è possibile. Alcuni metodi comuni per compromettere queste informazioni includono:

      • Phishing: I criminali usano le e-mail per tentare di indurre gli utenti a immettere le loro credenziali nei siti web o moduli. Un tale messaggio sembra convincente, come un’e-mail da una persona o da un’azienda con cui l’utente intrattiene una relazione e talvolta è mirata ad un individuo specifico (spear-fishing), percepito come un’utente con l’accesso ad un sistema privilegiato.
      • Forza bruta: Con le password semplici che tornano in uso, i criminali tentano le password comuni fino a quando non trovano una che funzioni. Sono stati scritti persino degli script automatici che aggirano protezioni semplici, come un limite di tentativi di autenticazione entro una finestra temporale specifica. Ricordati, nel caso di aziende sprovviste di MFA, ci vuole solo una singola combinazione di nome utente/password.
      • Gemello cattivo del Wi-Fi: Usando un dispositivo da 99 USD facilmente reperibile, i criminali possono accomodarsi in un’area affollata, facendo finta di essere uno hotspot Wi-Fi legittimo. Quando le persone si collegano ad esso, il criminale è in effetti un MitM (man-in-the-middle) che osserva il traffico sulla rete e persino i caratteri digitati da un utente mentre rimane collegato. Gli studi hanno rivelato che le persone controllano regolarmente i loro conti bancari, fanno le spese online e sì, persino accedono alle reti aziendale, usando una rete Wi-Fi pubblica.

 

Una volta entrati in possesso delle credenziali valide, gli impostori li useranno per accedere ai sistemi e rubare i dati, consumare le risorse con botnet, installare ransomware e persino per rubare ulteriori credenziali che potrebbero sbloccare altre reti e dati personali.