Furto delle credenziali, ecco una bella soluzione...

pexels miguel á padriñán 2882630

Non ti conosco eppure sono sicuro che le credenziali che sei costretto a gestire e ricordare ogni giorno sono tante, troppe...

Potresti essere uno di quelli furbi o distratti, dipende dal punto di vista, che salvano le credenziali nel browser perche' e' facile e le puoi avere subito a portata di click. Sappi che stai mettendo le tue credenziali in un posto altamente insicuro in quanto i browser sono facilmente violabili.

Ti avviso pero' che anche questi altri metodi non sono per niente efficaci:

  • documento word o excel salvato sul computer, in cloud, una cartella di rete o su una penna usb...
  • agendina old style scritta a manina e custodita gelosamente...
  • post-it attaccati al monitor, lungo i bordi. Mi raccomando facendo attenzione al posizionamento corretto...
  • foglio di carta, da mettere rigorosamente sotto la tastiera che altrimenti qualcuno lo puo' leggere...

Sembra divertente o che sto' esagerando vero?

No, non e' divertente e soprattutto non sto' esagerando perche' quando succedono i guai seri tu chiami un IT Man pensando, sperando ed a volte pretendendo che con la bacchetta magica lui risolva il tutto in 1-2-3 et voila!

Vogliamo parlare della tipologia e complessita' password?

Purtroppo quotidianamente rileviamo ancora:

  • credenziali ricorrenti (password replicate su diversi account)
  • ridicole 1234567890 o di tipo mnemonico Luca@2001 o Luca2001! (facilissime da ricordare e semplicissime da bucare)

Questo e' solo uno dei tanti aspetti che dovresti considerare quando si parla di gestione delle credenziali, soprattutto in un contesto aziendale.

Sappi che l'80% degli attacchi informatici parte da una credenziale compromessa...

Sappi che se sei vittima di un criminale informatico e' molto probabile che gli hai dato tu le chiavi per entrare nel tuo sistema...

Sappi che il ripristino di un sistema informatico complesso richiede tempo, tanto tempo e soldini...

Cosa puoi fare per evitare problemi?

A nostro avviso dovresti assolutamente:

  • Eliminare subito tutti i metodi di archiviazione sopra citati ed utilizzare un password manager (ve ne sono anche diversi gratuiti e comunque molto efficaci)...
  • Rivedere tutte le credenziali eliminando in modo maniacale quelle con password replicate...
  • Attivare dove possibile e soprattutto su alcune tipologie di account il Multi Factor Autenticator o 2 Factor Autenticar. Detto in parole povere ulteriore fattore di riconoscimento, dall'invio di un SMS (bucabile ma comunque piu' sicuro delle sole username e password) fino all'One Time Password utilizzando Google Autenticator installato sullo smartphone (per esempio).
  • Fare un minimo di formazione al personale interno in modo da far capire che quelle crendenziali trattate con leggerezza possono portare problematiche serissime.

Potresti dirmi: ok ma io non mi fido dei password manager.

Mentre per i metodi sopra citati ci sono infinite testimonianze in merito alla scarsa efficacia ad oggi non c'e' alcuna prova di compromissione di uno dei sistemi di gestione password in quanto la tecnologia che sta' dietro lascia poco spazio ad un hacker.

Tutti i gestori di password lavorano utilizzando una tecnologia chiamata Zero Knowledge.

Detto in parole povere, ogni database che contiene i tuoi dati e' criptato usando due chiavi, una complessissima che genera in automatico il sistema del gestore password ed una che inserisci tu. Solo l'accoppiamento di queste due password consente di aprire il database. Quindi, anche se un hacker riuscisse a bucare uno dei gestori di password si ritroverebbe con database cifrati che non puo' aprire perche' appunto ha bisogno sia della tua password che di quella con cui e' stato creato il database. Visto che ultimamente se parla (purtroppo) diciamo che piu' o meno e' il concetto di sicurezza legato al lancio dell'atomica: due chiavi inserite simultaneamente, inserimento di un codice per poi poter premere il bottone rosso.

Noi cosa abbiamo fatto

In Pentasoft ormai sono tanti anni che usiamo un password manager in cloud nel quale abbiamo inserito tutte e dico tutte le nostre credenziali di accesso (400+).

Abbiamo risolto diverse problematiche:

  • messo in posto sicuro sia le nostre chiavi di accesso che gli OTP...
  • disponibilita' immediata e su diversi dispositivi e piattaforme...
  • abilitato la condivisione di alcune di esse con collaboratori e dipendenti ed oltre ad un notevole risparmio di tempo nelle attivita' quotidiane sappiamo esattamente chi puo' usare quale password...
  • controllo costante nel dark web di eventuali compromissioni rilevate...
  • autocompilazione delle form di accesso ai sistemi...
  • ...

Se hai bisogno di ulteriori informazioni e demo della soluzione che abbiamo scelto non esitare a contattarci siamo a tua disposizione.

 

1566724703624

  Alberico Schiappa / Linkedin / Facebook / Instagram
Ciao sono un tecnico informatico amante del buon cibo, della natura e delle belle persone. Dal mio primo Commodore Vic20 ad oggi ci sono stati un po' di cambiamenti nel mondo informatico ma la passione e' rimasta la stessa. In Pentasoft mi occupo della parte sistemistica e della ricerca di soluzioni per migliorare l'IT dei nostri clienti. Se ti e' piaciuto questo articolo iscriviti alla nostra newletter per essere aggiornato su altri contenuti.