Audit delle password: perché è importante

Controllare periodicamente le password con tool automatici dovrebbe essere una consuetudine nelle aziende e aumenterebbe di molto la sicurezza.

Business
Il vettore di attacco più comune per le aziende che hanno subito un data breach è la compromissione delle credenziali. Spesso, per entrarne in possesso, i criminali informatici usano sofisticate tecniche di social engineering. Più di frequente si limitano ad attacchi brute force, che tentano milioni di combinazioni fino a trovare quella vincente. Inoltre, non sono rari i casi in cui lo stesso utente ricicla la password per più servizi: basta che uno sia stato violato per accedere agilmente a tutti gli altri.

Il problema è noto, gli appelli a creare password complicate spesso cadono nel vuoto. Serve a poco stabilire linee guida ferree: molti utenti soddisfano il requisito della composizione di password complesse, con lettere maiuscole e minuscole, numeri e caratteri speciali, usando chiavi come !Password123.

Per correggere queste tendenze, Apple allerta gli utenti se le password salvate in iCloud sono riciclate. Microsoft ha inserito uno strumento nel browser Edge che contrassegna le password riciclate e avvisa quando la chiave è stata esposta in una violazione online, confrontandola con database esistenti come Haveibeenpwnd.
password 2781614 1920

Password audit


In azienda come si può fare?
Molti produttori di cyber security hanno creato tool di password audit, che sono gratuiti o a pagamento a seconda delle caratteristiche. Esaminano lo stato delle password nell'ambiente Active Directory di Windows e allertano quando è necessario un intervento.

Non apportano alcuna modifica ad Active Web, però leggono i valori di pwdLastSet, userAccountControl e lastLogonTimestamp, controllano i criteri e i dettagli delle password sugli account utente. Come risultato dell'indagine emettono un report in cui evidenziano gli account utente che usano password compromesse o non conformi con gli standard del settore e le procedure consigliate.

Con in mano l'elenco delle password che devono essere modificate, l'amministratore di sistema potrà sollecitare i dipendenti a intervenire. Da notare che il controllo deve necessariamente interessare i dipendenti a tutti i livelli, compresi tutti coloro che hanno diritti di amministratore, le cui credenziali sono le più ricercate dagli attaccanti.

L'audit è importante anche per tagliare i rami secchi. Account non più esistenti che sono rimasti in archivio, magari legati a progetti ormai chiusi o a dipendenti che hanno lasciato l'azienda. Oppure account di software non più usati, o credenziali scadute che sono rimaste "appese" nel database. Sono tutte potenziali fonti di problemi, ma spesso non si ha il tempo per un controllo capillare, o non è possibile farlo perché ci sono migliaia di utenze.
matthew brodeur zefym4sulj8 unsplashIl controllo automatizzato è una soluzione vincente, che se ben implementato può analizzare anche gli account legati ai servizi gestiti e a tutti gli account di servizio configurati nell'infrastruttura Active Base.

La scelta della password


Un buon tool di password audit dovrebbe inoltre tenere in conto anche dei criteri usati per la composizione delle password. Non li elenchiamo perché sono ormai noti. Ma sottolineiamo un aspetto su cui pochi riflettono: la differenza tra password individuabili con il brute forcing e password facilmente indovinabili.

Dal punto di vista del brute forcing, basta aumentare il numero di caratteri per aumentare il tempo necessario per tentare tutte le possibili combinazioni di password. Una password che rispetta i requisiti standard può richiedere da 3 a 6mila anni per essere indovinata con il brute forcing.

Se però questa password è !Password123 un hacker la troverà in pochissimo tempo, perché è facilmente indovinabile. Come tutte quelle che contengono la parola password, o un termine di senso compiuto preso a caso dal dizionario e "condito" con qualche numero e un carattere speciale. È su questo che dovrebbe agire un controllo delle password moderno: scovare i molti dipendenti che si rallegrano per essere riusciti a imbrogliare il sistema, creando una password stupida ma conforme allo standard. Che però è estremamente facile da bucare.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori