Perché le password vanno protette

Sicurezza

La National Security Agency avrebbe limitato i danni semplicemente proteggendo meglio la sicurezza delle password

Quasi tutti sanno che le password non vanno condivise. Le password esistono per proteggere le informazioni personali e aziendali da altri che potrebbero provocare danni di vario tipo accedendo ad esse. Questa è una delle regioni per cui tutti (?) hanno una password forte che protegge l’accesso all’home banking. Allora come ha fatto Edward Snowden a ottenere le password che gli hanno dato accesso a migliaia di documenti segreti? Secondo Reuters, l’ha fatto nella maniera più facile che si possa immaginare: chiedendole. Ma naturalmente c’è ancora di più di questo.

Snowden ha detto a molti dei suoi colleghi che aveva bisogno delle loro password perché era un amministratore di sistema. Queste persone sapendo delle credenziali sicurezza di Snowden hanno pensato che fosse sicuro dargli le password. Snowden ha usato questa fiducia per impossessarsi di più file che poteva. Il fatto che Snowden potesse ottenere le informazioni dalle altre persone deve far pensare a utenti e organizzazioni. Snowden ha sfruttato una debolezza (fidarsi della persona sbagliata nel momento sbagliato) che esiste in ogni organizzazione e che può essere superata solo con le giuste policy di sicurezza e una corretta formazione. La domanda ovvia è come fare per la propria organizzazione. Dopo tutto non sono molti quelli che controllano segreti di stato. Ma ci sono buone probabilità che l’azienda possieda informazioni che hanno valore per concorrenti, criminali, e hacker,ecc.: elenco clienti, informazioni finanziarie, dettagli della produzione o della catena logistica.

Il controllo delle password avviene partendo dall’implementazione di alcune procedure di base con la sicurezza che il personale sia addestrato costantemente. Ma ci sono cinque cose da fare subito:

1. Richiedere che le password siano difficili da indovinare, ma non essere eccesivi. Se le password richieste sono troppo complesse, nessuno le ricorda. E allora si dà il via ai Post It gialli sui monitor. E questo non aiuta la sicurezza.

2. Controllare cosa succede se una password viene condivisa. E’ facile dire che il personale in nessuna caso deve condividere una password. Ma nel mondo reale le cose non funzionano assolutamente così. Talvolta un amministratore di sistema ha una vera reagine per richiedere le credenziali d’ accesso a un utente.

3. Se questo succede, cosa deve fare un utente? Dipende da molte cose, ma almeno dovrebbe sapere che dovrebbe cambiare immediatamente la password. Si può anche richiedere che ogni richiesta di condivisione di password sia inserita in un modulo che indichi quanto è successo a chi è in qualche maniera responsabile, come ad esempio l’IT manager.

4. Rendere facile il processo di modifica della password e rendere automatica la creazione di un report in modo che ogni cambiamento sia registrato.

5. Non utilizzare software di controllo troppo complessi come strumento principale di verifica dell’utente. Può servire, ma nulla è meglio di procedure seguite in modo corretto.

Quanto è veramente importante è richiedere un’autenticazione a due fattori per accedere all’informazione. Molte aziende utilizzano una smartcard che è anche un badge aziendale. Questo riduce il problema del furto delle credenziali di login. Esistono molti altri metodi di controllo degli accessi, ma non sempre sono appropriati se non in circostanze straordinarie.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore