Il problema delle password
Gli apparati e i dispositivi che concorrono a formare il sistema di sicurezza aziendale possono essere paragonati ad una catena: la sua forza è determinata dalla resistenza del suo anello più debole. Le password statiche sono l’anello debole della catena di sicurezza:
- le password statiche possono essere rubate
- le password statiche non possono essere troppo complesse
- le password statiche possono avere un valore economico molto alto
- le password statiche vengono condivise tra gli utenti
- le password statiche da ricordare sono troppe
Le statistiche rivelano i comportamenti ormai consolidati nella determinazione della password che l’utente medio andrà a scegliere per proteggere i propri account/accessi:
- Quasi la metà degli utenti utilizza lettere minuscole dalla “a” alla “z”
- Solo una esigua parte degli utenti mischia caratteri alfanumerici agli altri caratteri
- Nella top 20 delle password più usate, ai primi posti ci sono nomi propri o riconducibili alla propria persona
- Molti utenti utilizzano password statiche non più lunghe di 6 caratteri
Il tempo medio necessario per scoprire la password “inventata” da un utente per mezzo di un attacco a forza bruta (mediante cioè un algoritmo di risoluzione che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta) varia a seconda di alcuni parametri ben definiti: lunghezza e alfabeto.
Una password della lunghezza di 5 caratteri costruita da un alfabeto a 26 lettere non maiuscole, viene scoperta in meno di 1 minuto grazie alla potenza dei computer oggi a disposizione
Una password statica considerata a prova di furto è composta da 10 caratteri e costruita con un alfabeto alfanumerico di 96 caratteri (tutti quelli disponibili sulla tastiera del PC). In questo caso un attacco a forza bruta impiegherebbe 21 milioni di anni per trovare la soluzione, ma se la password inventata è ad esempio rTyx*pK2%9, l’utente nell’arco di 5 minuti è una password già dimenticata. A meno di non appuntarsela sul classico post-it e nasconderlo poi nel cassetto della scrivania.
Il concetto principale è il rimpiazzo dell’utilizzo delle password statiche con un meccanismo più sicuro in termini assoluti: un dispositivo fisico che a richiesta genera una password casuale che può essere utilizzata una sola volta.
In un colpo solo risolviamo quindi tutti i problemi intrinsechi all’ utilizzo delle password statiche:
- non sarà più necessario inventare password complesse e difficili da ricordare per mantenere elevati livelli di sicurezza né utilizzare password semplici che vanno a scapito della protezione della rete aziendale
- possiamo utilizzare un unico strumento sia per l’accesso da remoto alla rete aziendale che per il login alla postazione di lavoro
- mettiamo al riparo il cliente dal furto d’identità che può avvenire, ad esempio, a causa di un keylogger che infetta la macchina dell’utente: anche se la password istantanea venisse rubata non può più essere utilizzata
- renderemo confortevole l’esperienza dell’utente nell’utilizzo delle password grazie alla semplicità dell’utilizzo del dispositivo di strong authentication.
Perché scegliere Armura per una soluzione di Identity e Authentication
Armura è pronta a condividere conoscenze e expertise per aiutare i partner a soddisfare le richieste dei propri clienti per proteggerli dalla minaccie reali del furto di identità, dalla perdita e o dall’abuso di dati sensibili attraverso l’utilizzo della tecnologia di autenticazione a 2 fattori e le soluzioni di gestione dell’identità
Grazie alla versatilità del portafoglio prodotti OneSpan che prevede tutte le opzioni della tecnologia di autentizaione a due fattori: dai token One Time Password (OTP) alle smart card, dagli ambienti PKI all’integrazione con le soluzioni di Single-Sign-On (SSO), prevedendo la possibilità di customizzazione con i loghi e i colori del vostro cliente dei dispositivi di autenticazione.