Cosa sono le password in chiaro e perché sono una pessima idea?

Nel mese di luglio del 2024, la notizia su RockYou2024 ha suscitato scalpore: si tratta del più vasto elenco di password violate della storia, con oltre 10 miliardi di credenziali univoche, che è apparso su un forum noto negli ambienti dei criminali informatici. Il file, sotto forma di testo in chiaro, conteneva dati sottratti da numerosi attacchi informatici nel corso degli anni.

I file in chiaro rappresentano un rischio enorme per la sicurezza dei dati. Ma il problema non riguarda solo i file contenenti documenti in chiaro che compaiono sulle bacheche di messaggistica di Tor: molte aziende, purtroppo, usano proprio questo formato per conservare dati di vitale importanza. Parliamo quindi dei file di testo in chiaro e dei motivi per i quali la tua azienda dovrebbe invece optare per una soluzione crittografata.

Cosa significa "testo in chiaro"?

Questo termine non riguarda solo la sicurezza informatica: si riferisce a qualsiasi file a cui è possibile accedere senza un ulteriore livello di protezione. Pensa, ad esempio, a un documento di Word o a un foglio di calcolo che non richiede un'apposita chiave di accesso. Nell'ambito della crittografia il termine assume un significato più specifico; il testo in chiaro si riferisce a un messaggio che, prima di essere crittografato, è visibile a chiunque oltre che al mittente e al destinatario previsto.

La crittografia utilizza un algoritmo per cifrare il contenuto del messaggio e trasformarlo in una stringa incomprensibile di caratteri, conosciuta come "testo cifrato". Per sbloccare il testo cifrato e renderlo di nuovo un testo leggibile, è necessario avere a disposizione una chiave crittografica. Crittografare un messaggio di testo in chiaro aiuta a proteggerne i contenuti da accessi non autorizzati.

Imprese ed enti governativi fanno sempre più ricorso alla crittografia per le proprie comunicazioni interne ed esterne, operazioni finanziarie e conservazione di file. La crittografia svolge inoltre un ruolo fondamentale nell'autenticazione, in quanto aiuta a confermare l'identità di una persona senza rivelare alcuna informazione sensibile.

I pericoli delle password sotto forma di testo in chiaro

Purtroppo è ancora una prassi diffusa considerare i documenti di testo in chiaro come l'opzione più accessibile per memorizzare password e altre informazioni sensibili in ambito lavorativo: di solito, infatti, sono completamente gratuiti o hanno un costo inferiore rispetto ai software di crittografia. Non di rado i dipendenti condividono fogli di calcolo contenenti le credenziali usate di frequente o inviano password tramite e-mail: in entrambi i casi, si tratta di testi in chiaro.

È facile immaginare quale sia il lato negativo di queste modalità di condivisione: se i dipendenti non hanno bisogno di alcuna autenticazione per visualizzare i dati sensibili, è altrettanto facile che soggetti esterni – autorizzati o meno – possano accedere alle credenziali. Le aziende in questione diventano così facili prede dei criminali informatici, a cui basta mettere le mani su un solo file per accedere a tutti gli account più importanti.

Vale inoltre la pena di sottolineare che, dai file di testo in chiaro, è possibile rubare non solo le credenziali. Informazioni su dipendenti e clienti, dati identificativi, codici fiscali, coordinate bancarie... qualsiasi dato memorizzato sotto forma di testo in chiaro è a rischio di violazione. Un file di testo in chiaro non è molto più sicuro di un blocco note contenente le password, che viene lasciato sul tavolo della cucina in ufficio. Si tratta di un bersaglio facile che offre un bottino molto prezioso.

Quali sono le alternative?

La conservazione dei dati sotto forma di testo in chiaro può rappresentare una grave minaccia per la sicurezza delle imprese: la violazione di informazioni facilmente accessibili può avere ripercussioni negative su ogni ambito aziendale, dal personale alla clientela. È quindi fondamentale cercare alternative che diano la priorità alla protezione dei dati.

Ne abbiamo brevemente parlato all'inizio: la crittografia è essenziale per proteggere dalle violazioni le informazioni conservate in documenti in chiaro. Tuttavia, passare dai testi in chiaro ai formati crittografati non significa che le procedure di accesso debbano diventare molto più complicate; i metodi di autenticazione possono infatti essere veloci tanto quanto lo sblocco di un dispositivo personale tramite l'impronta digitale.

Iniziamo dalle credenziali aziendali condivise, che possono essere un grosso punto debole dei flussi di lavoro e della produttività. Chi ha usato l'ultima volta le credenziali? Questa persona deve prima disconnettersi per consentire a un'altra di accedere all'account? La password riportata in un documento condiviso è la più aggiornata, oppure è quella vecchia? Qualcuno ha cancellato per sbaglio una riga contenente i dati di accesso, o l'account in questione non era disponibile a priori? Iniziando a usare una soluzione più sicura per la gestione delle password, tutte queste domande non avranno più motivo di esistere.

Un gestore di password consente alle imprese di conservare e condividere le credenziali aziendali senza più ricorrere ai documenti in chiaro. Questo strumento utilizza la crittografia – di solito, basata sugli algoritmi AES-256 o XChaCha20 – per proteggere i dati e regolamentare in modo rigido gli accessi. Il personale dell'azienda può memorizzare e condividere non solo le password, ma anche altre informazioni come indirizzi, coordinate bancarie e dati identificativi.

In ogni caso, è raro che le funzionalità di un gestore di password per aziende si limitino alla sola archiviazione crittografata. Prendiamo NordPass, ad esempio. Oltre a una cassaforte crittografata con l'algoritmo XChaCha20, offre strumenti di protezione avanzati sia ai responsabili della sicurezza che ai dipendenti ordinari.

Se la tua azienda richiede l'autenticazione a due fattori, NordPass la rende più semplice grazie al suo Autenticatore integrato. Questo strumento consente ai dipendenti di memorizzare e generare password monouso a tempo (TOTP) direttamente nella loro cassaforte NordPass, garantendo così la sicurezza e la semplicità degli accessi.

Il Pannello di controllo è un punto di riferimento unico nel quale le aziende possono stabilire criteri di sicurezza e avere una panoramica di tutte le attività degli account. NordPass è dotato di integrazioni come Vanta e Splunk, che aiutano a gestire efficacemente i flussi di lavoro e a creare documenti conformi per le verifiche.

Lo strumento Rilevatore violazioni dati offre una duplice protezione. Monitora il dark web alla ricerca di violazioni che coinvolgono i domini aziendali e permette anche ai dipendenti di verificare se le loro credenziali personali sono trapelate.

Risulta quindi evidente che l'adozione di un gestore di password non aiuta solamente a debellare l'uso di credenziali in chiaro nella tua azienda; può anche contribuire a rafforzare le sue politiche di sicurezza generali e aiutarla a reagire in modo tempestivo in caso di violazioni impreviste.

Le migliori prassi per la sicurezza delle password

Dopo aver mandato in soffitta i fogli di calcolo condivisi e le e-mail contenenti password in chiaro, ecco cosa puoi fare per rendere ancor più sicura la gestione delle credenziali nella tua impresa.

• Usa password complesse e univoche per proteggere tutti gli account aziendali. Più le password sono complicate e più sono sicure: scegli sempre combinazioni complesse, con una lunghezza di almeno 12 caratteri. Fai in modo che le credenziali condivise siano particolarmente robuste e non usare mai la stessa password per più di un account.

• Ogni password deve essere modificata con cadenza regolare e soddisfare rigorosi requisiti di complessità e sicurezza. Tutto ciò sarà possibile in modo semplice grazie alla funzionalità "Politica sulle password" di NordPass, che consente alle aziende di stabilire la lunghezza delle password e la frequenza con cui devono essere modificate.

• Usa sempre l'archiviazione crittografata. Smetti di conservare le password in chiaro: importa su NordPass i fogli di calcolo contenenti le credenziali in formato CSV e, dopo averlo fatto, eliminali definitivamente. Da quel momento in avanti, ti basterà usare il gestore di password per trovare ciò che ti serve.

• Usa solo canali crittografati per condividere le credenziali. Non fornire mai a nessuno le credenziali usando taccuini o e-mail; usa invece NordPass per condividere questi dati in modo sicuro. Puoi anche impostare le autorizzazioni di accesso che preferisci, per avere il controllo sull'utilizzo delle credenziali.