Password sicura, azienda sicura

Insistiamo molto sulla cybersicurezza delle aziende, del resto è un concetto importante quanto immediato: un server, un pc, una rete wi fi lasciati senza adeguate protezioni sono la prima “porta” che un qualsiasi “cyber-furbo” può utilizzare per entrare nei sistemi. E una volta che i sistemi sono accessibili, sono infinite le azioni da poter compiere: si va dai semplici scherzi del collega burlone (wallpaper cambiati, icone spostate), alle risorse aziendali usate per scopi privati o vere e proprie azioni criminali perpetrate per arrecare danno all’azienda e a tutto quanto ad essa collegato allo scopo di ottenere un ritorno economico. Alcune di queste azioni sono “asintomatiche” per l’utilizzatore finale per cui è anche difficile rendersi conto di essere stati attaccati. Ad esempio, il pc di una receptionist (spesso non troppo potente in termine di hardware, utilizzato per compiere azioni semplici) può diventare un nodo di smistamento di spam: esistono delle vere e proprie centrali delle mail spazzatura, spesso localizzabili in Est Europa o in Oriente, che tramite attacchi mirati utilizzano i pc di ignari utenti per diffondere ulteriormente i loro contenuti e guadagnare su ogni mail che viene aperta o semplicemente inoltrata. L’unico modo per accorgersi che il proprio pc sta spammando praticamente in tutto il mondo è che qualche destinatario conosciuto avverta il mittente. Nel frattempo, c’è tutto il tempo per finire nelle blacklist dei vari provider e farsi di fatto bloccare la posta.

Oppure, altro caso tipico, i pc utilizzati per i programmi grafici solitamente montano schede grafiche molto potenti. Questo tipo di macchine, se attaccate, possono diventare dei bitcoin miner, ovvero degli “appoggi” collegati ad appositi server che contribuiscono, con la loro potenza di calcolo, a creare le stringhe che generano i bitcoin (e quindi in denaro vero). Creare una stringa di bitcoin è un lavoro lunghissimo e laborioso, di conseguenza un pc trasformato in un miner a pieno regime può diventare lento e inutilizzabile nel lavoro quotidiano, perchè tutte le risorse di macchina vengono forzate sul mining non lasciando nulla agli altri processi.

Qual è quindi la prima difesa per contrastare tutti questi pericoli? Prima ancora di firewall e antivirus, che costituiscono una sorta di barriera “fisica”, il primo baluardo è l’utente. L’utilizzatore finale del mezzo (pc, ma anche smartphone, tablet o qualsiasi altro strumento che sia connesso alla rete) deve essere consapevole, informato e avere una minima cognizione di ciò che sta facendo ed è qui che veniamo al punto, ovvero alle password. La password è la prima chiave d’ingresso per tutto il nostro mondo digitale: home banking, account social, identificazione sulle reti aziendali, cellulari e quant’altro, tutto è protetto da una password. Inserire la password del pc è la prima cosa che facciamo quando arriviamo al lavoro al mattino del resto, proprio per iniziare la giornata. I danni provocati da intrusioni per password violate sono incalcolabili, ma allo stesso tempo sono molto facili da prevenire.

Lo sappiamo, impostare delle password complesse è laborioso e viene percepito come una perdita di tempo: possiamo assicurarvi che non lo è e anzi, è spesso un’azione che salva letteralmente la vita. Come deve essere una password complessa? Rispondiamo a questa domanda al contrario, ovvero come una password NON deve essere: niente nomi propri, riferimenti alla propria vita personale (date di nascita o anniversari, nomi di figli, parenti o animali o qualsiasi altro dato che sia facilmente reperibile), niente codice fiscale, no alla squadra del cuore. Sbagliatissimo usare la stessa password per tutti gli accessi, sbagliatissimo usare combinazioni di tasti semplici o sequenze elementari. Gli esperti americani di sicurezza informatica di SplashData hanno diffuso come ogni anno la lista delle peggiori password in uso nel mondo. Potete consultare la lista qui, ma vi anticipiamo che le prime tre sono “123456“, “123456789” e l’immortale “qwerty“. Se state utilizzando qualcosa del genere per i vostri account aziendali e online preoccupatevi! E dopo che vi siete preoccupati, cambiate le password, ovviamente.

Vi suggeriamo qualche strumento utile: esistono tanti siti per generare delle password robuste, casuali o seguendo dei criteri impostati da voi. Uno è Lastpass, facile da usare e in italiano. Tutti i browser hanno una funzione di “ricorda password”: abilitandola, si può evitare di doverle ricordare tutte a memoria. Volete sapere se qualche vostra password è stata, come si dice in gergo, “sniffata” (ovvero intercettata)? Un sito molto affidabile è Have I Been Pwned, dove basta inserire l’account da controllare per sapere se la relativa password è finita nelle mani di qualcuno che potrebbe potenzialmente accedervi. Se ricevete un warning, cambiatela.

La sicurezza della vostra azienda, ovviamente, non può reggersi sulle sole password, ma è un buon inizio. Per qualsiasi altro dubbio o esigenza riguardo questo delicato tema, contattateci.