RSA Security: troppe password sono l'anello debole nella sicurezza delle aziende

RSA Security: troppe password sono l'anello debole nella sicurezza delle aziende

Seconda indagine annuale portata avanti dalla societá RSA Security mette in evidenza che le troppe password sono il punto debole nella sicurezza di un'azienda.

di Marco Giuliani pubblicata il , alle 07:23 nel canale Sicurezza
 
Interessante sondaggio portato avanti da RSA Security in quella che risulta essere la seconda indagine annuale sulle password condotta proprio dalla societá di sicurezza dedicata alle protezioni delle identitá online.

L'indagine, portata avanti su un campione di 1300 persone, ha messo in evidenza come l’utilizzo di password multiple continui a rappresentare un rischio per la sicurezza e incoraggi comportamenti da parte degli utenti aziendali che non solo rischiano di minare le iniziative per la compliance delle imprese, ma anche di aprire pericolose falle nella sicurezza dei sistemi.

“Le aziende investono sempre più tempo e denaro per proteggere le informazioni sensibili, ma le password continuano a rimanere l’anello debole della catena della sicurezza e ciò è dovuto soprattutto al gran numero di esse che viene normalmente utilizzato da un singolo utente”, ha commentato John Worrall, senior vice president marketing di RSA Security, in un comunicato stampa, “Poco è cambiato in tal senso dall’indagine del 2005”.

Secondo i risultati dell'indagine, il 57% degli intervistati ha dichiarato che la propria azienda non richiede frequenti cambi di password o non attua stringenti politiche in merito per non creare difficoltà ai propri dipendenti.

Inoltre il 26% degli intervistati ha ammesso di essere a conoscenza di una violazione della sicurezza connessa con la compromissione di password.

Tra gli esempi di violazioni citati:

- Ex dipendenti che hanno acceduto al loro vecchio account aziendale usando le loro password
- Lavoratori temporanei che hanno indovinato la password dei loro ex referenti, introducendosi da remoto nel sistema aziendale
- Dipendenti che hanno acceduto agli archivi delle Risorse Umane per alterare le informazioni su colleghi.

Il comunicato stampa completo é raggiungibile a questo link.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Murakami16 Settembre 2006, 08:20 #1
Cambiare password di frequente è inutile, anzi controproducente: è dimostrato che l'utente medio reagisce ad una politica di questo tipo semplificando ulteriormente la password.
norfildur16 Settembre 2006, 08:36 #2
Non se la password viene fornita dall'alto. Nelle aziende "serie" non è mai il dipendente a scegliere la propria password, ma viene generata automaticamente e in modo random da programmi appositi, e questo per evitare che l'utonto di turno usi come password il nome del proprio gatto!
MasterGuru16 Settembre 2006, 08:37 #3
Quoto...Si parte con password lunghe un'infinità di caratteri, poi siccome l'utonto non se le ricorda, le accorcia, rendendo facili gli attacchi "a dizionario"....Quanti di voi hanno come password: "pippo", "sesso", ecc?
Chester16 Settembre 2006, 09:00 #4
Originariamente inviato da: norfildur
Non se la password viene fornita dall'alto. Nelle aziende "serie" non è mai il dipendente a scegliere la propria password, ma viene generata automaticamente e in modo random da programmi appositi, e questo per evitare che l'utonto di turno usi come password il nome del proprio gatto!


e l'utonto di turno a quel punto la attacca con un post-it sul monitor
Eraser|8516 Settembre 2006, 09:12 #5
ci credete se vi dico che non ho mai usato password "a dizionario" e sempre di tipo alfanumeriche e che me le ricordo tutte? O_o
Nockmaar16 Settembre 2006, 09:24 #6
Beh, anche io le uso alfanumeriche. Ma comunque si tende a semplificare, lasciando una parte fissa ed un' altra diversa di mese in mese ( se la policy aziendale e' quella ).

Oppure si usa mettere i mesi con caratteri alfanumerici, magari cambiando solo le cifre dell' anno.

Sopra qualcuno parlava di generatori. Certo, ovviamente esistono i var i "tamagotchi" ( come li chiama un mio collega ) che generano password a random.

Ma e' difficile che si usino per accedere alla rete della propria azienda. E molto piu' probabile che siano necessarie per connessioni da remoto verso altre reti. E sono la base delle VPN.

dan6616 Settembre 2006, 09:38 #7
Fino a che non si troverà un sistema alternativo alle PW, queste restreranno sempre l'anello debole della catena, perchè passano attraverso l'utente (o se preferite, l'utonto). A parte la scelta di pw "a dizionario", resta il rischio che le scrivano da qualche parte: più sono complesse e più sono difficili da ricordare. E quando un dipendente deve ricordarne una decina, ciascuna da 12 caratteri alfanumerici da cambiare ogni tre mesi, cui si aggiungono il PIN di 2 telefonini, il codice di 3 Bancomat, il codice di apertura dei cancelli di casa ... il proprio numero di telefono e quello del cellulare la RAM è esaurita! Il nostro cervello non è un HD fatto per ricordare dati precisi in maniera digitale per cui un 1 è un 1 ed uno 0 è uno 0. Il nostro cervello è fatto per ricordare in maniera analogica, per cui uno 0 può essere anche una O e l'1 una I, sono simili! Una maiuscola ed una minuscola sono cose ben diverse per un computer, due facce della stessa medaglia per il nostro cervello!
Non resta che passare alle impronte digitali ed alla scansione della retina, magari abbinate ad un generatore di PW che le cambia in continuazione in sincro col server...
elessar16 Settembre 2006, 10:13 #8
beh, ormai esistono anche le smart card. Lì anche se non si cambia pin non è un problema, finchè non si smarrisce la card. Purtroppo i sistemi di autenticazione a smart card sono ancora poco usati, ma mi risulta siano pienamente funzionali e non abbiano problemi di sorta, almeno per un login 'fisico' (per quello remoto non so)
cionci16 Settembre 2006, 10:28 #9
Originariamente inviato da: elessar
beh, ormai esistono anche le smart card. Lì anche se non si cambia pin non è un problema, finchè non si smarrisce la card. Purtroppo i sistemi di autenticazione a smart card sono ancora poco usati, ma mi risulta siano pienamente funzionali e non abbiano problemi di sorta, almeno per un login 'fisico' (per quello remoto non so)

La smart card presenta diversi problemi, come hai detto te lo smarrimento e il login da remoto ed anche la possibilità di essere duplicata anche senza che l'utente se ne accorga.
Per il login da remoto è chiaro che debba essere approntata qualche struttura ad hoc (software + hardware sui PC remoti) per instaurare una connessione sicura, magari con una chiave privata residente sulla smart card (la chiave pubblica già presente sul server)...
Per risolvere i problemi dello smarrimento e della duplicazione basterebbe far scadere la password ogni giorno...ed il personale (ovviamente solo quello che svolge lavoro in locale) dovrebbe riprogrammare la smart card ad ogni ingresso al lavoro (già in molte aziende il personale ha una carta per la registrazione di ingresso e uscita), magari in abbinamento alla scansione dell'impronta digitale...
riva.dani16 Settembre 2006, 10:59 #10
Quoto Chester. In media gli utenti che possono scegliere la password ne scelgono una semplice da ricordare, o magari la stessa che usano per la posta o altri ambiti, in modo da dover ricordare una sola password. Quando invece la password viene impostata automaticamente, l'unico modod che l'utonto trova per ricordare quella stringa di caratteri senza senso è scriverla un po' ovunque...

Una soluzione potrebbero essere gli scanner biometrici per le impronte digitali, magari in abbinamento a token fisici. Se date all'utonto una password, non si curerà minimamente di proteggerla. Se date all'utonto un oggetto fisico che funziona da chiave, probabilmente lo terrà sempre al sicuro, come è abituato a fare per le chiavi di casa, dell'auto, ecc...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^