In un mondo sempre più digitale, in cui praticamente tutto richiede credenziali di accesso, alcune aziende potrebbero trovare qualche problema nel controllare l'accesso agli account.
Contenuti
Per semplificarsi la vita, i dipendenti spesso potrebbero scambiare password, condividere account e indirizzi email o scegliere di lavorare insieme su un solo account, anziché cercare di individuare le autorizzazioni individuali. Si tratta di un fenomeno non necessariamente nuovo; per decenni le persone hanno condiviso credenziali, sia fisiche che digitali, che non avrebbero potuto condividere, tutto per rendere la vita più facile.
Per fortuna, con problemi moderni arrivano soluzioni altrettanto moderne, senza dover fare affidamento sui modi tradizionali per condividere le password. Rimane comunque importante capire il perché i metodi tradizionali abbiano dei limiti, per garantire così un cambiamento duraturo. Questo ci porta al nostro primo punto...
Problemi con la condivisione delle password
Forse non dovremmo dirlo, ma la condivisione di password rappresenta un rischio per la sicurezza incredibilmente elevato, anche se avviene con persone di cui ti fidi. Studi recenti hanno scoperto che circa il 35% delle persone condivide le proprie password. A prima vista potrebbe sembrare un dato non troppo rilevante, ma se prendiamo in considerazione l'intera popolazione mondiale che compone Internet, avremo milioni e milioni di persone.
Come se non bastasse, uno scioccante 81% di violazioni di hacking deriva dalla condivisione di password, a causa di password deboli o riutilizzate. Non solo, ma purtroppo il 27% degli impiegati sarebbe disposto a vendere le proprie password.
Oltre all'ovvio rischio per la sicurezza, la condivisione delle password riduce generalmente la responsabilità sul posto di lavoro. Dal momento che non sai mai chi sta facendo cosa, tu e le persone con cui condividi le password finirete per essere considerati come gruppo, e non come singolo individuo. Immagina di provare a rintracciare le credenziali dell'account e la cronologia della sua attività, solo per scoprire che una dozzina di persone diverse stanno usando quel singolo account.
Analogamente al punto sopra, avrai anche il problema di non sapere chi faceva parte di una determinata catena di comunicazione. Si tratta di un problema particolarmente serio per le aziende che hanno un'infrastruttura CMS complessa e un sistema di registrazione. Ancora peggio, come fai a tenere traccia di chi deve rispondere a determinate email? Come fai a tenere traccia dei reclami o dei problemi che richiedono diversi giorni di corrispondenza email? A quel punto passerai solo ore a cercare di trovare il bandolo della matassa.
Ancora peggio è lo scenario in cui un dipendente lascia l'azienda, ma continua ad avere accesso all'account. Chiunque sia responsabile della condivisione potrebbe non essere consapevole che quel determinato soggetto se ne sia andato, o potrebbe non voler prendersi la briga di cambiare la password e informare tutti gli altri. Questo aumento del carico per la sicurezza delle password e la conseguente insicurezza, potrebbe portare qualcuno ad avere accesso a materiale sensibile senza averne il diritto. Oltre al problema della sicurezza, ci sono anche questioni legali da considerare.
Metodi tradizionali di condivisione delle password
Naturalmente, possiamo capire che alcune persone abbiano ancora l'esigenza di dover condividere le password, anche se in modo temporaneo. Ecco quindi i modi tradizionali che dovresti evitare:
Invio delle informazioni di accesso, senza crittografia, tramite email. Si tratta probabilmente della cosa peggiore che puoi fare, perché richiede la violazione di una sola email. Prova invece a suddividerle in più email o attraverso due diversi canali di comunicazione. L'unica piccola eccezione a questo è una email sicura.
Invio delle informazioni di accesso tramite app di messaggistica. Anche se leggermente più sicuro, ha sempre lo stesso problema: potenzialmente, è sufficiente la violazione di un singolo messaggio per ottenere le informazioni. Inoltre, se altre persone hanno accesso al tuo telefono, non puoi sapere chi vede e chi non vede le informazioni di accesso.
Annotare le informazioni di accesso e condividerle. Non riesco a sottolineare abbastanza quanto sia controproducente questa idea. Oltre al fatto che la persona potrebbe facilmente perdere il pezzo di carta in qualsiasi momento, c'è anche da considerare che chiunque potrebbe facilmente vedere almeno una parte delle informazioni, specialmente se la carta è sottile e il testo è spesso. Assicurati per lo meno di distruggere il pezzo di carta nel momento in cui il trasferimento delle informazioni è stato completato.
Condivisione verbale delle informazioni di accesso. Questa pratica è leggermente migliore delle altre, anche se la maggior parte delle persone non ha davvero la capacità di memorizzare informazioni al volo in questo modo. Il problema più grande è rappresentato dal fatto che è più facile fraintendere una persona che parla, rispetto a un pezzo di carta scritto.
Condivisione delle informazioni di accesso tramite strumenti come DropBox o Google Drive. Anche se questa potrebbe sembrare un'idea migliore, dal momento che questi servizi sono protetti, combina ancora i problemi descritti in precedenza, come un singolo punto di errore e una mancanza di responsabilità su chi vede la password.
Anche se non si tratta di un elenco esaustivo dei modi in cui le persone condividono le password, rappresentano comumque i modi principali in cui può essere fatto.
Perché i gestori di password sono i migliori per la condivisione delle password
In realtà, il modo migliore per condividere le password è utilizzare qualcosa che abbia questa funzione integrata al suo interno, e per questo, la cosa migliore è a password manager.
Per cominciare, non solo un gestore di password crittografa le password che hai inserito al suo interno, ma ti consente anche di creare password lunghe e complesse, che sono fondamentali per la sicurezza delle password stesse. Inoltre, puoi praticamente memorizzare una quantità illimitata di password, se lo desideri. Finché la password principale sarà sufficientemente complessa e affidabile, non avrai molto di cui preoccuparti.
Un altro aspetto rilevante dei gestori di password è che ti consentono di controllare i criteri di accesso. Potendo contare su un amministratore che controlla ciò che viene condiviso, non dovrai preoccuparti che qualcuno non autorizzato possa ottenere l'accesso. Inoltre, puoi tenere traccia di chi condivide le password e con chi.
Funge anche da ottimo piano di backup per un'assunzione improvvisa o una partenza immediata. Mantenere il controllo dell'accesso con password è fondamentale per garantire un elevato livello di sicurezza, e questa funzione è inserita nella maggior parte delle applicazioni di gestione delle password. Quindi tu, come amministratore, puoi scegliere chi ha accesso a quali password e non devi preoccuparti di passare attraverso canali non sicuri o non crittografati, come un pezzo di carta o il passaparola.
Un'altra opzione è sempre utilizzare un browser sicuro. Se non sei convinto, dovresti dare un'occhiata al nostro post su browser Web vs gestori di password.