<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">

Gestione password: la situazione e i nostri consigli

[fa icon="calendar"] 05/11/19 11.00 / da Cristiano Pastorello

gestione password

Non pensi anche tu che i sistemi informatici che oggi troviamo in un’azienda media siano numerosi e diversificati?

In genere troviamo il dominio e Windows, la posta elettronica, il CRM e altri gestionali, svariate interfacce Web o anche applicazioni specifiche a cui hanno accesso solamente alcuni reparti aziendali. Moltiplichiamoli per il numero degli utenti e avremo l’entità del parco di password che dobbiamo gestire.

La riservatezza delle informazioni che risiedono sui sistemi informativi e le normative sulla privacy non solo impongono l’utilizzo delle credenziali di accesso ma anche un’attenzione fondamentale a come queste vengono a loro volta trattate, perché costituiscono il mezzo per accedere a tutti i dati, più o meno importanti personali o sensibili.

Penso che tutti noi possiamo riconoscerci in questo scenario, arriviamo in ufficio accediamo a Windows e alla posta mentre beviamo un caffè scambiamo due parole con il collega e via che si parte ad utilizzare tutti gli strumenti che ci servono per lavorare, quindi ad inserire le nostre credenziali ogni volta che ci viene richiesto.

Che ci piaccia oppure no dobbiamo ammettere che la natura umana tende a ricercare sempre la massima comodità in ogni cosa che facciamo e non è di certo un delitto, tuttavia stiamo parlando di un contesto delicato che dovrebbe essere gestito con cura.

Ci sono casi in cui certe leggerezze possono avere dei risvolti negativi anche gravi e la gestione delle password è proprio uno di questi, per ovvie ragioni sono informazioni da trattare con attenzione, spero non ci sia alcun dubbio in questo.

Dobbiamo ammettere che gran parte dei grattacapi che ogni giorno un tecnico IT si trova a gestire nasce dall’attenzione superficiale che gli utenti hanno nell’ utilizzo dei sistemi informativi e la gestione molto blanda delle proprie credenziali di accesso rappresenta uno di quelli più comuni.

Ma è naturale che sia così, io non ci trovo nulla di strano!

Per noi la sicurezza è il pane quotidiano e ci viene naturale trattare l’argomento con sensibilità ma l’utente che ha altro da fare si comporta secondo le sue priorità, per lui una gestione certosina della password è solamente un intralcio.

Quindi, Qual è la Situazione?

Gli utenti trattano queste informazioni concedendosi alcune “comodità” mnemoniche e pratiche per noi discutibili, quali?

  • Bassa complessità, password ovvie per essere ricordate facilmente;
  • Bassa diversificazione, password uguali per l’accesso a sistemi diversi;
  • Repository poco sicuri, agende, foglietti, ecc.
  • Scarsa rotazione, modifiche minimali per essere ricordate

Ne consegue:

  • Scarsa sicurezza
  • Basso controllo, quindi alto rischio di non essere in linea con leggi e regolamenti;
  • Alti costi di Helpdesk, per le risoluzioni alle problematiche relative alle password;
  • Perdita di tempo per gli utenti e amministratori di sistema con richieste di bassa lega;

Lo so che per te non è una novità ma allora qual è il nesso?

Da un lato i sistemi non possono essere ridotti e le password saranno sempre tante, al contempo i requisiti da soddisfare sono ben chiari e gli utenti tratteranno sempre così queste informazioni perché vogliono essere comodi.

Dall’altro però il nostro dovere è arrivare qui:

  • Alta complessità delle singole password per garantire sicurezza e compliance
  • Alta diversificazione delle password dei singoli sistemi, per le stesse ragioni
  • Eliminazione dei costi di helpdesk per le richieste inerenti le password, liberando dalle richieste di bassa lega i reparti IT già ridotti al minimo;

Come?

Basta fare in modo che non sia l’utente a gestirsele!!! Te lo aspettavi?

Pensa se si potesse fare in modo che:

  • All’utente basti ricordare solamente una singola password, quella di Windows e per questo essere nelle condizioni di mantenerla di elevata complessità, con ridotto impegno mnemonico e libero dalla necessità di annotarla in posti facilmente accessibili;
  • L’utente dopo aver effettuato l’accesso al PC accedesse anche a tutti i sistemi informativi di suo utilizzo senza dover inserire nessuna altra password;
  • L’utente fosse tenuto ad aggiornare solamente quella singola password e libero anche dall’onere di doversene ricordare;
  • Le password di tutti i sistemi venissero aggiornate periodicamente e automaticamente secondo criteri di complessità predeterminati;
  • Le password di tutti i sistemi fossero mantenute ad elevata complessità senza che questo sia di ostacolo agli utenti, in quanto nemmeno le conosceranno.

Lo avrete già capito, la gestione password è l' SSO (Single-Sign-On) ed è bene tenere sempre presente che a questo termine si possono riferire soluzioni anche molto diverse tra loro, da quelle che per esempio possono gestire i login solamente sulle pagine Web a quelle più evolute basate su script, che possono lavorare con le credenziali di qualsiasi tipo di applicazione.

La criticità più lampante è che se qualcuno venisse a conoscenza della password di dominio di un utente potrebbe accedere a tutti i sistemi aziendali a suo nome con tutto ciò che può derivarne. Dobbiamo considerare che con questo sistema non ci saranno più foglietti nascosti attaccati sotto la scrivania o agende che escono fuori dall’azienda, perché ogni utente sarà nelle condizioni di poter ricordare la propria password senza la necessità di scriverla e nasconderla in qualche posto potenzialmente accessibile da altre persone.

Per questo nessuno potrà venirne a conoscenza, torture a parte.

Ecco come l’SSO permette di avere password complesse su tutti i sistemi e di mantenerle aggiornate senza che questa attività sollevi lamentele dagli utenti e come può scaricare i reparti IT di una serie di richieste che fanno sprecare molto tempo.

La sicurezza può anche essere aumentata con soluzioni di strong authentication che permettono di verificare l’identità della persona fisica che effettua l’accesso tramite lettori di impronte digitali, token, app e anche sistemi di riconoscimento ottico.

Spero di esserti stato utile, ma tu non perdere l'occasione di seguire il nostro blog, ogni settimana pubblicheremo nuovi articoli per aiutarti ad affrontare le sfide sulla sicurezza informatica.

In questa guida abbiamo dedicato un intero capitolo proprio all’SSO, oltretutto, puoi trovare le opinioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completate con molti consigli utili sulle contromisure da attuare.

 guida-rischi-sicurezza-it-manager

Categorie: Network Security

Cristiano Pastorello

Scritto da Cristiano Pastorello

Information Security Manager & Privacy Officer presso ArchiMedia srl. Nonostante i miei studi partiti come geometra, la mia passione per il pc e per tutto quello che sta oltre a quell'involucro di plastica mi hanno trascinato completamente nel settore dell'informatica, tanto da diventare Information Security Manager di ArchiMedia. In questi anni ho seguito importanti progetti come quelli che riguardano la sicurezza informatica del Comune di Verona e di Italscania. In questo ultimo periodo ho deciso inoltre di specializzarmi sul campo del Data Protection ottenendo la Certificazione Federprivacy come Privacy Officer.