Software gestione password: scopri perché usarlo
TOPICS
Non pensi anche tu che i sistemi informatici oggi presenti in azienda siano tanti e diversificati?
Minimo troviamo il controller dominio, la posta elettronica, il CRM ai quali si possono aggiungere interfacce Web come l’home banking, software gestionali e applicazioni specifiche a cui magari hanno accesso solamente alcuni reparti aziendali.
Moltiplichiamoli per il numero degli utenti e avremo l’entità del database di password che dobbiamo gestire.
La riservatezza delle informazioni che risiedono sui sistemi informativi e le normative sulla privacy non solo impongono l’utilizzo delle credenziali di accesso ma anche un’attenzione particolare in come queste vengono mantenute e utilizzate, perché costituiscono il mezzo per accedere a tutti i dati, più o meno importanti personali o sensibili.
Penso che tutti noi possiamo riconoscerci in questo scenario, arriviamo in ufficio accediamo a Windows e alla posta mentre beviamo un caffè scambiamo due parole con il collega e via che si parte ad utilizzare tutti gli strumenti che ci servono per lavorare, quindi ad inserire le nostre credenziali ogni volta che ci viene richiesto.
Che ci piaccia oppure no dobbiamo ammettere che la natura umana tende a ricercare comodità e scorciatoie in ogni cosa e di per sé non è di certo un delitto, tuttavia stiamo parlando di un contesto delicato la cui gestione richiede di mantenere determinate procedure, diciamo che non è un tema su cui concedersi troppe libertà.
Ma nonostante questo ecco la Top10 delle peggiori password del 2016:
- 123456
- password
- 12345678
- qwerty
- 12345
- 123456789
- football
- 1234
- 1234567
- baseball
Ci sono casi in cui certe leggerezze possono avere dei risvolti negativi anche gravi e la gestione delle password è proprio uno di questi, per ovvie ragioni sono informazioni da trattare con attenzione, spero non ci sia alcun dubbio in questo.
Dobbiamo ammettere che ogni giorno un tecnico IT si trova a gestire più di un grattacapo legato in qualche modo alle password e questo nasce proprio dalle abitudini discutibili degli utenti nell’ utilizzo delle loro credenziali.
Il fatto è che non c’è nulla di strano, è naturale che accada questo e non dobbiamo stupirci.
Per noi la sicurezza è il pane quotidiano e ci viene naturale trattare l’argomento con sensibilità ma l’utente, che ha altro da fare, si comporta secondo le sue priorità, per lui una gestione certosina della password è solamente un intralcio, qualcosa che gli fa perdere tempo e che dà noia.
Quindi qual è la situazione?
E’ che gli utenti utilizzano le proprie credenziali concedendosi alcune “comodità” molto poco consone alle Best Practices che il tema richiede e la TOP10 non lascia adito a dubbi.
Ecco quali sono:
- Bassa complessità, password ovvie per essere ricordate facilmente. Questo permette di dedurle o indovinarle in pochi tentativi oppure ai sistemi automatici di riuscire a generarne a sufficienza per calcolare quella giusta.
- Bassa diversificazione, password uguali per l’accesso a sistemi diversi. Trovata quella di un singolo sistema possiamo accedere agli altri, eludendo cosi anche il controllo sul numero di tentativi di accesso non riuscito che alcuni sistemi possono avere.
- Scarsa rotazione, modifiche minimali per essere ricordate più facilmente. Questo prolunga l’esposizione al pericolo nel tempo.
- Password complesse ma custodite in luoghi poco sicuri e facilmente accessibili, in borsa, agende, post-it sul monitor, sotto la tastiera, nel cassetto ecc. Espone i sistemi ad accessi non autorizzati da parte di personale interno oppure allo smarrimento delle credenziali, che oltre a rappresentare una falla nella sicurezza, determina perdite di tempo e quindi di produttività, per il reparto IT occupato con le richieste di reset e per gli utenti che non possono lavorare in attesa delle nuove credenziali.
Lo so che per te non è una novità ma allora qual è il nesso?
Il nesso è che se vogliamo la comodità dobbiamo fare qualcosa che sia veramente comodo e utile per tutti, mettendo a disposizione uno strumento in grado di risolvere il problema, perché il tema è troppo importante per lasciare che quello strumento sia la sensibilità dell’utente.
Da un lato i sistemi non possono essere ridotti, le password saranno sempre tante e al contempo i requisiti da soddisfare sono ben chiari, ma gli utenti tratteranno sempre così queste informazioni perché vogliono essere comodi.
Dall’altro però il nostro dovere è arrivare a questo:
- Alta complessità delle singole password per garantire sicurezza e compliance
- Alta diversificazione delle password dei singoli sistemi, per le stesse ragioni.
- Eliminazione dei costi di helpdesk inerenti le password, liberando dalle richieste di bassa lega i reparti IT in modo da poterli utilizzare per attività più costruttive.
Come?
Basta fare in modo che non sia l’utente a gestirsi le proprie credenziali !!!
Te lo aspettavi?
Quindi basta fare in modo che:
- L’utente debba ricordarsi solamente una singola password, quella di Windows, trovandosi così nelle condizioni di mantenerla ad elevata complessità, libero dal doverne ricordare tante e per questo essere portato a custodirle in posti facilmente accessibili.
- L’utente dopo aver effettuato l’accesso al PC acceda anche a tutti i sistemi informativi di suo utilizzo senza dover inserire nessuna altra password;
- L’utente debba aggiornare solamente quella singola password libero anche dall’onere di doversene ricordare.
- Le password di tutti i sistemi vengano aggiornate periodicamente e automaticamente secondo criteri di complessità predeterminati.
- Le password di tutti i sistemi vengano mantenute ad elevata complessità senza che questo sia di ostacolo agli utenti, in quanto nemmeno dovranno conoscerle.
Lo avrete già capito siamo in tema di Single-Sign-On ovvero un software gestione password, da quelli che possono gestire i login solamente sulle pagine Web ai più evoluti basati su script, che possono lavorare con le credenziali di qualsiasi tipo di applicazione.
Ecco come l’SSO permette di avere password complesse su tutti i sistemi e di mantenerle aggiornate senza che questa incombenza gravi sugli utenti, oppure come può sollevare i reparti IT da una serie di richieste che fanno perdere molto tempo e si potrebbero evitare.
Questa è comodità!
La sicurezza può anche essere aumentata con soluzioni di strong authentication aggiungendo un token tradizionale, su badge aziendale o app per mobile fino ad arrivare ai lettori biometrici per impronte digitali o riconoscimento ottico.
Spero di esserti stato utile, ma tu non perdere l'occasione di seguire il nostro blog, ogni settimana pubblicheremo nuovi articoli per aiutarti ad affrontare le sfide sulla sicurezza informatica.
In questa guida abbiamo dedicato un intero capitolo proprio all’SSO, oltretutto, puoi trovare le opinioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completate con molti consigli utili sulle contromisure da attuare.