Il vettore di attacco più comune per le aziende che hanno subito un data breach è la compromissione delle credenziali. Spesso, per entrarne in possesso, i criminali informatici usano sofisticate tecniche di social engineering. Più di frequente si limitano ad attacchi brute force, che tentano milioni di combinazioni fino a trovare quella vincente. Inoltre, non sono rari i casi in cui lo stesso utente ricicla la password per più servizi: basta che uno sia stato violato per accedere agilmente a tutti gli altri.

Il problema è noto, gli appelli a creare password complicate spesso cadono nel vuoto. Serve a poco stabilire linee guida ferree: molti utenti soddisfano il requisito della composizione di password complesse, con lettere maiuscole e minuscole, numeri e caratteri speciali, usando chiavi come !Password123.

Per correggere queste tendenze, Apple allerta gli utenti se le password salvate in iCloud sono riciclate. Microsoft ha inserito uno strumento nel browser Edge che contrassegna le password riciclate e avvisa quando la chiave è stata esposta in una violazione online, confrontandola con database esistenti come Haveibeenpwnd.

Password audit

In azienda come si può fare? Molti produttori di cyber security hanno creato tool di password audit, che sono gratuiti o a pagamento a seconda delle caratteristiche. Esaminano lo stato delle password nell'ambiente Active Directory di Windows e allertano quando è necessario un intervento.

Non apportano alcuna modifica ad Active Web, però leggono i valori di pwdLastSet, userAccountControl e lastLogonTimestamp, controllano i criteri e i dettagli delle password sugli account utente. Come risultato dell'indagine emettono un report in cui evidenziano gli account utente che usano password compromesse o non conformi con gli standard del settore e le procedure consigliate.

Con in mano l'elenco delle password che devono essere modificate, l'amministratore di sistema potrà sollecitare i dipendenti a intervenire. Da notare che il controllo deve necessariamente interessare i dipendenti a tutti i livelli, compresi tutti coloro che hanno diritti di amministratore, le cui credenziali sono le più ricercate dagli attaccanti.

L'audit è importante anche per tagliare i rami secchi. Account non più esistenti che sono rimasti in archivio, magari legati a progetti ormai chiusi o a dipendenti che hanno lasciato l'azienda. Oppure account di software non più usati, o credenziali scadute che sono rimaste "appese" nel database. Sono tutte potenziali fonti di problemi, ma spesso non si ha il tempo per un controllo capillare, o non è possibile farlo perché ci sono migliaia di utenze.
Il controllo automatizzato è una soluzione vincente, che se ben implementato può analizzare anche gli account legati ai servizi gestiti e a tutti gli account di servizio configurati nell'infrastruttura Active Base.

La scelta della password

Un buon tool di password audit dovrebbe inoltre tenere in conto anche dei criteri usati per la composizione delle password. Non li elenchiamo perché sono ormai noti. Ma sottolineiamo un aspetto su cui pochi riflettono: la differenza tra password individuabili con il brute forcing e password facilmente indovinabili.

Dal punto di vista del brute forcing, basta aumentare il numero di caratteri per aumentare il tempo necessario per tentare tutte le possibili combinazioni di password. Una password che rispetta i requisiti standard può richiedere da 3 a 6mila anni per essere indovinata con il brute forcing.

Se però questa password è !Password123 un hacker la troverà in pochissimo tempo, perché è facilmente indovinabile. Come tutte quelle che contengono la parola password, o un termine di senso compiuto preso a caso dal dizionario e "condito" con qualche numero e un carattere speciale. È su questo che dovrebbe agire un controllo delle password moderno: scovare i molti dipendenti che si rallegrano per essere riusciti a imbrogliare il sistema, creando una password stupida ma conforme allo standard. Che però è estremamente facile da bucare.