Più attenzioni alla password bistrattata

Sicurezza

Dovrebbe costituire il primo baluardo di difesa contro gli attacchi ma spesso
è vissuta con insofferenza, sottovalutata e trasformata in un pericolo per
l’intera struttura It

Gli esempi legati a un utilizzo superficiale delle password sono fin troppo abbondanti e danno un’idea chiara di come vengano vissute e sottovalutate dai dipendenti. Spesso è anche inutile applicare delle policy rigide nella composizione delle password in quanto, pur di evitare la noia di ricordarsi la nuova password ogni 15/20 giorni, ecco che la fantasia degli utenti riesce a raggiungere livelli di creatività e banalità disarmanti.

Sfogliando nell’ampia casistica degli aneddoti legati all’uso delle password troviamo quindi il caso del dipendente che applica il post-it sul foglio delle istruzioni per accedere al sistema, nella posizione in cui viene riportata la password di accesso, così ogni volta che cambia gli basta sostituire il foglietto. Oppure ci imbattiamo nell’utente che una volta capito il meccanismo delle regole di composizione delle password si limita ad aggiungervi un numero crescente ogni volta che scade. Non dimentichiamoci infine dell’esercito di utenti che circonda il monitor di foglietti con le diverse password richieste dalle varie applicazioni utilizzate quotidianamente, o quelli che insistono nel mettere la data di nascita o il proprio nome o cognome scritti al contrario. Insomma, troppo spesso, quella che dovrebbe essere la prima linea di difesa dei sistemi aziendali si trasforma in una pericolosa falla.

La password dove la metto?

A parziale giustificazione dei comportamenti appena descritti è comunque da evidenziare il fatto che spesso si tende ad abusare dello strumento password, e si deve tenere conto che ormai quasi ogni applicazione ne richiede una. Ecco quindi la necessità d’inserire la password per il login al sistema, l’eventuale password per accedere agli archivi compressi, quella per accedere alle varie applicazioni, al conto online, alla casella di posta, al messenger, alla risorsa condivisa, all’intranet aziendale e così via. Alla fine gestire efficientemente un numero elevato di password può diventare un problema non indifferente. Certamente, al crescere del numero di password è impossibile ricorrere alla memoria, già sovraccaricata da un’altra serie di password e codici come per esempio il Pin del telefonino, il codice bancomat, i numeri telefonici d’uso comune e molteplici altre informazioni d’uso quotidiano. E’ vero che tutte le password possono essere riportate su un’agenda o un supporto cartaceo, ma poi? Un’agenda si può dimenticare, si può perdere, può essere consultata a nostra insaputa o rubata. Un’alternativa immediata è rappresentata dalle classiche agende elettroniche. In questo caso la sicurezza delle password memorizzate è affidata a un’unica keyword che è quella che ci permette di accedere al dispositivo. Un’alternativa tecnologicamente avanzata potrebbe essere rappresentata dal ricorso a un dispositivo mobile, come per esempio una chiavetta Usb con riconoscimento biometrico. In questo caso, l’unico elemento di riconoscimento per accedere univocamente al documento contenente le diverse password personali, sarà rappresentato dall’impronta del proprio dito.

Un’alternativa banale ma efficace

Con il ricorso a dispositivi mobili protetti da password abbiamo quindi risolto il problema di garantire un adeguato livello di protezione al documento al quale abbiamo affidato tutte le nostre password. Ma un dispositivo mobile, in quanto tale, rimane soggetto a un’ampia gamma di rischi come il danneggiamento, il furto o lo smarrimento. In questi casi rischieremmo di perdere in un colpo solo tutte le nostre password, e se è vero che nessuno potrà entrarne in possesso, lo stesso varrà per noi. La soluzione ideale sarebbe quindi quella di poter disporre del documento contenente tutte le nostre password direttamente sul nostro pc aziendale. Ma come fare per renderle inutilizzabili e limitare i danni nel caso in cui qualcuno riuscisse a superare la password iniziale di login? La soluzione è piuttosto semplice ma efficace e contempla l’utilizzo della funzione ?encrypt’ compresa nel noto programma di compressione Winzip. Come prima cosa è necessario ?zippare’ (comprimere il documento in un archivio .zip) utilizzando il programma in questione. Successivamente, portandosi con il puntatore del mouse sull’icona del file .zip appena generato e premendo il tasto destro si dovrà selezionare nuovamente l’icona del programma Winzip e si dovrà selezionare l’opzione ?Encrypt’ dal sottomenu che verrà visualizzato. A questo punto verrà mostrata una finestra contenente due campi per l’immissione della password e diverse modalità di codifica. Una volta inserite le diverse informazioni e attivata la procedura di codifica premendo il tasto ?Ok’, il contenuto dell’archivio compresso non sarà più utilizzabile senza prima aver fornito nuovamente la password prescelta.

Conclusioni

Troppo frequentemente, quello che dovrebbe rappresentare la prima linea di difesa aziendale, si trasforma in un vero e proprio grimaldello a disposizione di chiunque voglia approfittarne. Ancora una volta la soluzione più semplice per evitare problemi risiede nella corretta formazione/informazione degli utenti. Troppo spesso infatti la password viene vissuta come una costrizione inutile e le viene attribuito lo stesso valore che viene dato al tasto di accensione del PC. In molti casi infatti l’inserimento della password viene vissuto dal dipendente come un’inutile operazione imposta per accedere ai programmi, senza comprenderne a fondo la funzione reale e l’importanza che possiede.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore