Cybersicurezza e autenticazione senza password

Quello delle credenziali di accesso è da sempre un grande problema per la cybersicurezza, in particolare per le aziende e le organizzazioni che devono proteggere gli accessi alla propria infrastruttura e ai servizi. Con lo sviluppo della digitalizzazione e il conseguente incremento delle aree delle infrastrutture da difendere il problema è diventato ancora più pressante, in particolare perché sono richiesti sempre più accessi dall’esterno e purtroppo, in molti casi, con l’uso di dispositivi personali con sistemi operativi spesso non aggiornati agli update di sicurezza.

Il problema delle password è importante per vari motivi, troppo spesso vengo usate parole e sequenze troppo semplici. Ci sono poi gli attacchi di phishing con messaggi contraffatti ad arte, progettati per rubare le credenziali di accesso agli utenti, gli attacchi “Brute Force” che sfruttano la potenza di calcolo dei nuovi chip per “indovinare” le password e malware chiamati keylogger progettati per “rubare” quello che digitiamo dalla tastiera del computer o dallo smartphone, comprese password, login di accesso e altri dati sensibili. Questi malware si trovano in misura maggiore in alcune app malevole degli smartphone: è quindi essenziale che l’azienda adotti delle policy che vietino l’uso dei dispositivi personali per l’accesso alle infrastrutture.

Correre ai ripari

A dimostrazione dell’importanza del problema, Microsoft ha recentemente rafforzato la protezione phishing di Windows 11 per garantire una maggiore sicurezza delle credenziali. In questo caso si tratta di una funzione che avvisa gli utenti quando copiano e incollano la password del sistema operativo in siti web o documenti. Una soluzione necessaria dato che l’azienda di Seattle è uno dei marchi più imitati dalle fake email di phishing ideate per rubare i codici di accesso.

Le buone pratiche di sicurezza informatica, come l’utilizzo di password complesse e uniche per ogni account è un vantaggio considerevole nella protezione degli accessi. Consideriamo che un moderno sistema usato per gli attacchi Brute Force può, su password di 4 caratteri (combinazioni di numeri e lettere con maiuscole e minuscole) “indovinare” la sequenza in pochi secondi, mentre i codici di accesso con 6 caratteri possono essere individuati in poco più di 10 secondi. Invece, una combinazione di almeno 10 lettere, numeri e caratteri special, può richiedere fino a 5 anni per essere trovata.
Quando creiamo una password assicuriamoci che sia lunga almeno 10 caratteri, differenziati fra maiuscole e minuscole, ricordiamoci poi di inserire caratteri numerici e speciali. Ovviamente la nuova password deve essere radicalmente diversa dalle precedenti e usata per un solo account.

Soluzioni di tendenza

Una delle soluzione più efficaci per risolvere il problema sono i servizi che consentono l’accesso alla rete e ai servizi senza l’uso di password, conosciuti anche come passwordless authentication. Considerando che l’indagine eseguita dal National Cyber Security Centre del Regno Unito, stima che in tutto il mondo ci sono 23 milioni di utenti che usano come password “123456”, è possibile comprendere quanto questi sistemi di autenticazione possano rivelarsi fondamentali nella prevenzione degli attacchi.

Si tratta di tecniche che permettono di validare l’identità di un utente senza la necessità di digitare password o rispondere a domande di sicurezza. Inizialmente questa tecnologia era strutturata per inviare un link di accesso via email, soluzione che benché pratica, poteva essere aggirata con tecniche di phishing. Con l’arrivo del doppio (e multiplo) fattore di autenticazione la soluzione è decisamente migliorata, mentre ora grazie ai sensori biometrici presenti in computer e smartphone è possibile garantire l’accesso all’infrastruttura con la rilevazione del volto o dell’impronta digitale: l’MFA risulta sicuro, pratico e veloce per tutti gli utenti.

Hypergrid fornisce un servizio 2FA espressamente progettato per le aziende che sfrutta varie tipologie di accesso tra cui la pratica rilevazione biometrica. Secondo il tipo smartphone o computer a disposizione sarà sufficiente inquadrare il volto o far leggere l’impronta digitale per ottenere l’accesso senza bisogno di inserire codici. La praticità di questo servizio è che può essere applicato alle più disparate opzioni, come accesso all’infrastruttura o alla VPN, ma anche per accedere a servizi online e software.

Di recente Cisco, di cui Hypergrid è partner da anni, ha sponsorizzato uno studio intitolato “Passwordless in the Enterprise” realizzato da Jack Poller, senior analyst di ESG. In questo report, 377 professionisti della sicurezza, dell’IT e dello sviluppo di applicazioni di aziende di varie dimensioni e settori verticali sono stati intervistati in questo ambito. Dai dati ottenuti è evidente come la compromissione di più account o credenziali è la normalità per il 76% delle aziende del campione, che lo hanno subito negli ultimi 12 mesi. Ogni anno vengono pubblicati numerosissimi report secondo cui un numero significativo di violazioni si verifica a causa di credenziali perse o rubate. Per i cybercriminali questo è un vantaggio, poiché non devono usare tecniche di infiltrazione con il rischio di essere individuati, si limitano ad accedere con le credenziali reali.

Alcune aziende non hanno il budget per implementare internamente il doppio fattore di autenticazione, né le competenze per farlo. Il servizio senza password proposto da Hypergrid è sicuro, poco costoso e per le aziende non richiede competenze specifiche. Il cliente ottiene una soluzione completa e pronta all’uso senza dover gestire complessi aspetti tecnici o configurazioni. Hypergrid fornisce soluzioni personalizzate in base alle esigenze e alle necessità del cliente.

Per maggiori informazioni: 0382 528875

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica