Nonostante il monito a considerare la sicurezza una responsabilità di tutti, spiega Lori MacVittie, Principal Technical Evangelist di F5 Networks, non solo viene violata regolarmente la barriera di difesa dell’azienda, ma, quando si tratta di app e password, le pratiche di sicurezza più elementari vengono ignorate.
“Conosco un’app per farlo”, ormai è una frase ricorrente in molte conversazioni. Diverse statistiche sull’utilizzo delle app mobile indicano che una persona in media possiede oltre 80 applicazioni installate sul proprio smartphone, ma interagisce mediamente con nove di esse ogni giorno, arrivando a un massimo di trenta nel corso di un mese.
A causa del loro appetito insaziabile nei confronti dei dati e della visibilità sulle abitudini dei consumatori, la maggior parte di queste applicazioni richiede un account prima di poter essere utilizzata. Sia che si tratti di collegare un account già esistente su un social media o di crearne uno nuovo, la maggior parte delle app incoraggia fortemente la registrazione prima di poter accedere alle funzionalità più utili o divertenti, come condividere con gli amici il livello di Candy Crush sul quale si è rimasti bloccati per troppo tempo.
Sempre di più le app si interfacciano con i social network, condividendo su di essi un numero crescente di dati (spesso estratti dalle applicazioni stesse). Una tendenza che ha portato, lo scorso anno, gli utenti Internet a possedere mediamente 8,5 account a testa sui social media, raddoppiando il dato di quattro anni prima (4,8).
Qui il discorso si fa ancora più interessante: il numero di account e-mail che mediamente un utente di Internet possiede è 1,8 oppure 2,5, a seconda della fonte presa in considerazione (Radicati o DMA). In entrambi i casi, il numero di indirizzi e-mail per utente è significativamente inferiore rispetto al numero di account e app di social media utilizzati su base giornaliera/mensile.
Anche se tutto questo appare sensato, perché, in genere, non manteniamo una relazione uno a uno tra account sui social media e indirizzi e-mail, è altrettanto curioso constatare che siamo cresciuti tanto affezionati ai nostri indirizzi e-mail quanto lo siamo oggi ai nostri telefoni cellulari.
Lo conferma anche una ricerca DMA, che evidenzia come il 51% delle persone possieda lo stesso indirizzo e-mail da oltre 10 anni.
Possiamo quindi facilmente immaginare come un indirizzo e-mail sia stato negli anni associato a un numero di servizi e database molto maggiore rispetto al numero medio di app e account di social media che oggi un individuo possiede; per questo non ci sorprende se un indirizzo e-mail personale viene inserito in un elenco di indirizzi compromessi da una violazione delle informazioni.
Se proiettiamo i dati sulla crescita costante del numero degli account sui social media nell’arco di altri quattro anni, comprenderemo quali saranno i volumi di crescita dei potenziali obiettivi degli attacchi.
Se, infine, perdiamo in considerazione il punto di vista di un vendor che si occupa della gestione delle password del web, come LastPass, scopriremo che il 43% dei primi 30 domini maggiormente utilizzati dai dipendenti corrispondono alle applicazioni di consumo più popolari (come Dropbox, ad esempio) e che oltre il 50% delle persone non crea password diverse per gli account personali e quelli di lavoro. Ancora più preoccupante è il fatto che mediamente sei di queste password siano condivise tra più colleghi.
Il Data Breach Investigations Report di Verizon ha rilevato che oltre il 70% dei dipendenti riutilizza in modo costante le password sul lavoro.
Nonostante l’educazione e il monito costante a considerare la sicurezza una responsabilità di tutti, non solo viene violata regolarmente la barriera di difesa dell’azienda, ma, quando si tratta di app e password, le pratiche di sicurezza più elementari vengono completamente ignorate!
Ecco perché è importante che le organizzazioni riconoscano e istituiscano una migliore protezione dei propri asset, le risorse dell’azienda alle quali di solito i dipendenti accedono da uno dei 2,5 (o 1,8) indirizzi e-mail che in media possiedono.
L’uso dell’autenticazione a più fattori (Multi-Factor Authentication – MFA), ad esempio, e l’istituzione di requisiti di complessità delle password sono tra le difese migliori contro gli aggressori e le tecniche brute-force, che aprono facilmente una breccia nella sicurezza dell’azienda per avere accesso alle fonti di dati redditizie. Si tratta anche una delle migliori difese contro la condivisione delle password, perché la MFA fa un passo avanti in termini di protezione, richiedendo agli utenti di compiere un passaggio di autenticazione in più, che la maggior parte dei collaboratori non porta a compimento.
Con account sempre più esposti e applicazioni che uniformano i diversi livelli in azienda, il pericolo non può che aumentare: un rischio che parte dai dipendenti che condividono le password, che nasce dall’utilizzo di indirizzi e-mail statici con password multiple e che viene considerato un vantaggio da chi muove gli attacchi e ormai conosce tutte queste statistiche e i modi migliori per sfruttarle la situazione a proprio vantaggio.
L’autenticazione a più fattori non è di certo la panacea per la sicurezza, ma può rappresentare un buon inizio in un percorso che aiuti ad affrontare tali rischi, che, purtroppo, continueranno a crescere insieme al numero di applicazioni sui nostri smartphone e al loro utilizzo indistinto sui domini personali e aziendali.
