La sicurezza dipende sempre più dalla gestione delle password

Oggi la gestione delle identità riveste un ruolo talmente importante da indurre addirittura il Garante della Privacy a definire precise linee guida. Abbiamo voluto approfondire il tema chiedendo l’opinione di un esperto di identity management: Cristiano Cafferata, country manager di TrustBuilder Italia

Le password sono da sempre uno dei punti deboli della sicurezza IT. Questo soprattutto perché il modo con cui gli utenti le usano e le conservano spesso vanifica ogni tentativo di crearle scegliendo un elevato livello di complessità. Ciò favorisce il furto da parte dei cybercriminali, consentendogli di commettere numerose frodi. Studi di settore dimostrano che i dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

La gestione delle password secondo il Garante della Privacy

Nel tentativo di limitare queste frodi, il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale hanno messo a punto specifiche linee guida in materia di conservazione delle password. L’obiettivo è fornire precise raccomandazioni sulle funzioni crittografiche più sicure così da evitare che le credenziali di autenticazione possano essere violate e finire nelle mani di cybercriminali, per essere poi rese disponibili online oppure utilizzate per richieste di riscatto o altri tipi di attacchi.

Le linee guida sono rivolte a tutte le Pubbliche amministrazioni e alle imprese che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti (come gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (come i dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (professionisti sanitari, avvocati, magistrati).

Le nuove linee guida trattano ad ampio spettro l’argomento gestione delle password e stabiliscono delle direttive tecniche abbastanza precise per chi deve proporre degli strumenti software che permettano la conservazione delle password.

Siccome quello della gestione delle password è oggi uno dei principali temi in ambito cyber security, per fare un po’ di chiarezza sull’argomento ci siamo rivolti a un esperto: Cristiano Cafferata, country manager di TrustBuilder Italia.

Una protezione che va oltre hardware e software

“Le direttive del Garante Privacy enfatizzano l’importanza di ambienti digitali sicuri – ha affermato Cafferata – comprendendo con questo non solo la sicurezza ottenuta tramite una protezione fisica con hardware e software, ma anche la corretta conservazione delle password”.

Questo aspetto ha indotto le aziende ad attuare una vasta ricerca di soluzioni di password management. Tuttavia, disporre di un password manager non è sufficiente.

“È essenziale che le password siano conservate e amministrate in modo sicuro – ha aggiunto Cafferata –. Che sia in cloud o in locale, se gestito male, un password manager è facilmente violabile e può perciò aumentare il rischio perché potrebbe consentire a un attaccante di ottenere un portafoglio di credenziali e, di conseguenza, il completo accesso agli account associati. Un metodo di protezione più efficace, come accade con TrustBuilder, è di proteggere gli accessi, non solo attraverso la conservazione delle password, ma anche adottando approcci passwordless e deviceless. In pratica, si usano soluzioni che non richiedono la conoscenza o l’utilizzo diretto delle password da parte degli utenti”.

Più facile se non si devono ricordare le password

L’obiettivo è di prevenire il furto delle password, impedendo che siano utilizzate da persone non autorizzate. Ciò si traduce nel garantire che gli utenti non debbano memorizzare o utilizzare direttamente le password statiche. È invece più efficace promuovere l’uso di sistemi di accesso che ruotano dinamicamente, rendendo ogni accesso unico e non ripetitivo.

“Come accade in TrustBuilder, tale risultato è ottenuto tramite l’implementazione di metodi di autenticazione multifattoriale (MFA), che richiedono l’uso di più elementi che vanno oltre la semplice conoscenza di una password. Per esempio, l’autenticazione potrebbe richiedere una combinazione di informazioni che solo l’utente conosce o che possiede fisicamente (come le caratteristiche biometriche)”.

A differenza dalle tradizionali autenticazioni a due fattori (2FA) o Time-based One Time Passwords (TOTP), le soluzioni di MFA offrono un livello di sicurezza superiore, poiché sono meno vulnerabili agli attacchi. L’approccio MFA garantisce che anche se una parte dell’informazione dovesse essere compromessa, l’accesso rimane protetto perché sono necessari ulteriori elementi per completare l’autenticazione.

Il browser come token

“Inoltre – ha precisato Cafferata –, TrustBuilder è attualmente l’unica soluzione nel nostro settore che non impone l’utilizzo del cellulare come sistema di verifica dell’identità. Questo garantisce accessi sicuri senza richiedere l’installazione di app sui dispositivi personali”.

Un problema comune è, infatti, la resistenza degli utenti all’installazione di app sui propri smartphone, specialmente quando non dispongono di dispositivi aziendali.
“Le aziende e le Pubbliche amministrazioni non possono imporre l’installazione di app per la sicurezza sui dispositivi personali, ma devono comunque garantire determinati standard di sicurezza per gli accessi”.

Un’opportunità in questo senso è la possibilità di utilizzare il browser come token.

“È un nostro brevetto – ha sottolineato Cafferata – che trasforma il browser dell’utente (come Chrome, Firefox o Edge) in un componente che soddisfa i criteri di sicurezza richiesti, compresi i fattori di possesso. Gli utenti possono usare il loro browser su qualsiasi dispositivo, inclusi PC e notebook, per accedere alle risorse, avendo garantita la sicurezza dell’accesso. Attraverso il browser token, anche lo smartphone personale viene validato e si ottengono livelli di sicurezza paragonabili a quelli offerti dalle app”.

Sicurezza anche per i clienti

Un altro aspetto legato a un’efficace protezione delle password che ha enfatizzato Cafferata è la sicurezza dei clienti.

“È particolarmente importante considerando che la sicurezza dei clienti è spesso trascurata durante il processo di registrazione sui siti web. Un cyber criminale potrebbe facilmente registrarsi con credenziali false e compiere transazioni fraudolente senza che l’azienda rilevi l’inganno. Tale scenario mette a rischio non solo l’identità del cliente, ma anche la sicurezza finanziaria dell’azienda. Ecco perché alcune realtà utilizzano le nostre soluzioni per garantire anche la sicurezza dei clienti che accedono ai loro siti di e-commerce”.

Tutto ruota attorno all’identità

Negli ultimi tempi si è posta molta enfasi sugli EDR (Endpoint Detection & Response), sistemi di controllo degli endpoint estremamente robusti, “ma che possono essere aggirati dagli attaccanti – ha sostenuto Cafferata –. Questo avviene perché i cyber criminali possono impersonare gli amministratori e disabilitare i sistemi di difesa. Anche il miglior sistema di analisi del mondo sarà inefficace se un attaccante riesce ad accedere utilizzando le credenziali di un utente autorizzato, cancellando le tracce che il sistema stava registrando. In sostanza, tutto ruota attorno all’identità del soggetto che accede alla rete e alla sua corretta gestione”.

L’importanza della gestione delle password è evidente, ma è strettamente legata al concetto di identità. E la chiave per proporre efficacemente la gestione dell’identità è spesso la conformità alle normative.

“La richiesta di gestione dell’identità, soprattutto in relazione all’MFA, è un tema cruciale, strettamente legato alle leggi – ha concluso Cafferata –. Rimuovendo il punto di vulnerabilità rappresentato dalle debolezze nell’identità, le aziende riducono notevolmente il rischio di intrusioni dannose”.