La vulnerabilità più spesso utilizzata dagli “attaccanti”, i cybercriminali, è la mancanza di consapevolezza dell’utente sui rischi connessi a un attacco informatico. Ragione per la quale, malgrado tutta l’enfasi che viene data all’importanza delle password, le più popolari sono sequenze numeriche, sequenze alfanumeriche su tastiera, nomi e numeri che identificano la persona. Quando poi qualche LDAP (Lightweight Directory Access Protocol – protocollo standard per l’interrogazione e la modifica dei servizi di directory, come ad esempio un elenco aziendale di email o una rubrica telefonica) viene compromesso, si scopre che spesso password associate a servizi importanti non erano state cambiate per mesi, anzi erano rimaste quelle di default. Questo è un altro problema, meno intuitivo, ma altrettanto serio, che riguarda la sicurezza. Anche se la password è complessa e quindi rispetta gli standard che impongono lettere minuscole/maiuscole, caratteri numerici e caratteri speciali, è comunque necessario cambiarla di tanto in tanto. Più a lungo si mantiene la stessa password, più aumenta la possibilità che un attaccante non solo la carpisca, ma usi la password rubata a scopo fraudolento.
Le password della blockchain
Nelle criptovalute, che si basano su ledger blockchain, l’identità coincide con la password. Persa la password, si è perso per sempre l’accesso ai dati e ai servizi a cui la password dava diritto.
Ha fatto notizia il caso di un programmatore che sta rischiando di perdere milioni di dollari in criptovalute per aver salvato le chiavi private di un wallet su un disco rigido criptato, a sua volta protetto da password. Il paradosso è che la password del disco rigido fosse stata scritta tempo prima su un foglietto e che tale foglietto sia andato perso.
I sistemi di autenticazione forte (Strong Authentication)
Se da un lato l’utente spesso affronta la questione delle password con superficialità, senza una cultura della sicurezza, la storia del cybercrime corre parallela al furto delle credenziali di accesso, da Zeus a Citadel, il cybercrime ha reso sempre più avvincente la corsa a sistemi di autenticazione forte, multi-factor, federati.
Di fronte a una tale sofisticazione di tecnologie di attacco e difesa, lasciare la password di default, avere password semplici, scrivere le password su un foglio di carta, non può non essere associato e stigmatizzato come mancanza di cultura.
Avere però una password complicata e doverla ricordare, ricordarsi di cambiarla ogni tanto senza poterla scrivere su un foglietto o da qualche parte, non è però cosa semplice. Ancor di meno se le password da ricordare sono tante e devono essere modificate in tempi diversi
Se da un lato, quindi, abbiamo il rischio di essere vittima di un cyberattacco, dall’altro dobbiamo accettare il rischio di perdere la password (dimenticandola). Qualcuno potrebbe pensare che, riguardo alla sicurezza, perdere la password è meglio che farsela rubare, perché la password dimenticata può essere recuperata. Ahimè questo non è sempre vero.
Sicurezza delle password e fattore umano
Se pertanto la vulnerabilità dell’essere umano è il fattore maggiormente sfruttato dagli attaccanti, non si può stigmatizzare il problema della sicurezza delle password con la mancanza di cultura digitale. La cultura digitale dovrebbe essere un insieme che associa alle minacce, buone pratiche e tecnologie.
Spiegare come utilizzare portafogli di password è molto più complesso di insegnare che non si possono usare password banali. Ancor più complesso è far comprendere come gestire il ciclo di vita di una identità digitale, ma è l’insieme di pratiche e minacce che costituisce la cultura. Dicendo solo “non fare” senza spiegare “come fare” più che aumentare la cultura sul tema genera distanza dallo stesso.
La cultura della sicurezza e consapevolezza non è pertanto qualcosa che riguarda solo l’utilizzatore dei servizi digitali, ma anche e soprattutto gli specialisti di settore.
I compiti del Chief Information Security Officer
Nelle aziende, ad esempio, è compito del Chief Information Security Officer (CISO) decidere le regole di sicurezza, come le password, e assicurarsi che vengano rispettate. Imporre le regole senza fornire indicazioni su come ridurre gli impatti conseguenti ai cambi di abitudine, è come dire a un bambino di non usare password semplici per le sue molteplici applicazioni.
È anche compito del CISO suggerire processi e tecnologie che rendano l’adozione delle regole il più naturale possibile. Partendo dalla gestione del ciclo di vita delle identità digitali fino alla segmentazione della rete.
Ci sono tecniche di segmentazione che consentono di definire regole non vincolate a elementi fisici (quali MAC Address o IP Address) ma ad applicazioni (tutti coloro che usano una applicazione specifica) o regolamentazioni (tutti coloro che sono soggetti a determinate normative). Questa tecnica è chiamata microsegmentazione.
Il CISO non solo deve gestire il ciclo di vita delle identità, ma deve anche identificare i ruoli a esse associati (una serie di autorizzazioni per poter eseguire determinate attività) e verificare periodicamente che risorse associate a questi ruoli siano adeguate ai ruoli identificati per quella specifica identità, verificare che non ci sia un conflitto di interessi (SoD – Separation of Duties).
Questa non è una verifica che può essere lasciata al dipendente, ma necessariamente va gestita centralmente, tanto più che la gestione centralizzata consente di raccogliere e analizzare le informazioni relative all’utilizzo della identità e delle risorse per poter meglio identificare aree di rischio. Solo dopo aver fornito indicazioni su cosa non fare e aver creato un ambiente in cui rispettare le regole diventa naturale, si potrà parlare di cultura della sicurezza.
