RSA Security: troppe password sono l'anello debole nella sicurezza delle aziende
Seconda indagine annuale portata avanti dalla societá RSA Security mette in evidenza che le troppe password sono il punto debole nella sicurezza di un'azienda.
di Marco Giuliani pubblicata il 16 Settembre 2006, alle 07:23 nel canale SicurezzaL'indagine, portata avanti su un campione di 1300 persone, ha messo in evidenza come l’utilizzo di password multiple continui a rappresentare un rischio per la sicurezza e incoraggi comportamenti da parte degli utenti aziendali che non solo rischiano di minare le iniziative per la compliance delle imprese, ma anche di aprire pericolose falle nella sicurezza dei sistemi.
“Le aziende investono sempre più tempo e denaro per proteggere le informazioni sensibili, ma le password continuano a rimanere l’anello debole della catena della sicurezza e ciò è dovuto soprattutto al gran numero di esse che viene normalmente utilizzato da un singolo utente”, ha commentato John Worrall, senior vice president marketing di RSA Security, in un comunicato stampa, “Poco è cambiato in tal senso dall’indagine del 2005”.
Secondo i risultati dell'indagine, il 57% degli intervistati ha dichiarato che la propria azienda non richiede frequenti cambi di password o non attua stringenti politiche in merito per non creare difficoltà ai propri dipendenti.
Inoltre il 26% degli intervistati ha ammesso di essere a conoscenza di una violazione della sicurezza connessa con la compromissione di password.
Tra gli esempi di violazioni citati:
- Ex dipendenti che hanno acceduto al loro vecchio account aziendale usando le loro password
- Lavoratori temporanei che hanno indovinato la password dei loro ex referenti, introducendosi da remoto nel sistema aziendale
- Dipendenti che hanno acceduto agli archivi delle Risorse Umane per alterare le informazioni su colleghi.
Il comunicato stampa completo é raggiungibile a questo link.
29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoe l'utonto di turno a quel punto la attacca con un post-it sul monitor
Oppure si usa mettere i mesi con caratteri alfanumerici, magari cambiando solo le cifre dell' anno.
Sopra qualcuno parlava di generatori. Certo, ovviamente esistono i var i "tamagotchi" ( come li chiama un mio collega ) che generano password a random.
Ma e' difficile che si usino per accedere alla rete della propria azienda. E molto piu' probabile che siano necessarie per connessioni da remoto verso altre reti. E sono la base delle VPN.
Non resta che passare alle impronte digitali ed alla scansione della retina, magari abbinate ad un generatore di PW che le cambia in continuazione in sincro col server...
La smart card presenta diversi problemi, come hai detto te lo smarrimento e il login da remoto ed anche la possibilità di essere duplicata anche senza che l'utente se ne accorga.
Per il login da remoto è chiaro che debba essere approntata qualche struttura ad hoc (software + hardware sui PC remoti) per instaurare una connessione sicura, magari con una chiave privata residente sulla smart card (la chiave pubblica già presente sul server)...
Per risolvere i problemi dello smarrimento e della duplicazione basterebbe far scadere la password ogni giorno...ed il personale (ovviamente solo quello che svolge lavoro in locale) dovrebbe riprogrammare la smart card ad ogni ingresso al lavoro (già in molte aziende il personale ha una carta per la registrazione di ingresso e uscita), magari in abbinamento alla scansione dell'impronta digitale...
Una soluzione potrebbero essere gli scanner biometrici per le impronte digitali, magari in abbinamento a token fisici. Se date all'utonto una password, non si curerà minimamente di proteggerla. Se date all'utonto un oggetto fisico che funziona da chiave, probabilmente lo terrà sempre al sicuro, come è abituato a fare per le chiavi di casa, dell'auto, ecc...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".