Account inattivi, un rischio per la sicurezza aziendale

Vecchi account dimenticati, a volte per anni, e mai cancellati. Gli account inattivi a cui non si accede per periodi prolungati comportano rischi significativi per la sicurezza di utenti e aziende, poiché hanno maggiori probabilità di essere compromessi. Una violazione può fornire al criminale informatico un enorme volume di credenziali dell’utente e relativi dati personali, da utilizzare poi su larga scala per danneggiare altri profili attivi e reti aziendali.

È quanto emerge dal primo Customer Identity Trends Report di Okta, azienda specializzata in gestione degli accessi e delle identità, che ha intervistato più di 20.000 consumatori in 14 paesi tra cui Nord America, Europa, Asia-Pacifico e Giappone a proposito delle loro esperienze online e al loro atteggiamento nei confronti della sicurezza e dell’identità digitale.

Analizzando tutte le fasce d’età, il report rivela un atteggiamento più consapevole nei confronti della privacy digitale, della sicurezza e della protezione dei dati. Tuttavia, è interessante osservare che, indipendentemente dalla zona di appartenenza, la maggior parte degli interpellati mantiene da 10 a 20 profili attivi contemporaneamente: il 75% ha 10 o più account attivi, il 35%, 20 o più. Se il 63% degli intervistati dichiara di non essere in grado di accedere, almeno una volta al mese, a un profilo perché ha dimenticato nome utente o la password, il 52% riferisce di avere ancora accesso a tutti i propri account, mentre solo il 42% utilizza password diverse per ciascun profilo e soltanto il 29% rivede o modifica regolarmente le impostazioni sulla privacy dell’account.

Attenzione in azienda

Questo scenario indica che maggiore è il numero di account di cui si dispone, maggiore è la sua esposizione alle violazioni dei dati, soprattutto quando tali profili sono protetti con lo stesso nome utente, password deboli, oppure vengono trascurati nel tempo. Non sorprende che Google, proprio per questi motivi, abbia annunciato già mesi fa l’aggiornamento della propria politica per gli account personali inattivi da più di due anni, i quali potrebbero essere cancellati già a partire da dicembre.

Ecco perché il monitoraggio dei profili inattivi è un’attività sovente trascurata, ma emerge invece come una componente essenziale della strategia di difesa di un’organizzazione. Proprio nel contesto aziendale, possedere account inattivi crea rischi per la sicurezza, soprattutto se vengono riutilizzate le medesime password o non viene applicata l’autenticazione a più fattori.

Il riutilizzo delle password per diversi servizi è un’abitudine errata, ma molto diffusa, e purtroppo espone a un danno potenzialmente devastante, perché i criminali informatici che violano un account entreranno in possesso di credenziali e di informazioni che consentiranno loro di infiltrarsi nei sistemi, accedere ad altre risorse e potenziare i loro attacchi verso le imprese.

Soprattutto in azienda, gli esperti di sicurezza ribadiscono di cambiare password molto spesso, preferibilmente lunga (almeno 12 caratteri), con almeno 4 diverse tipologie tra lettere maiuscole e minuscole, numeri, caratteri speciali e, naturalmente, senza riferimenti personali. E se ricordarle tutte è un problema, un’idea è affidarsi ai password manager, applicazioni ad hoc sviluppate per conservare le password in modo sicuro e crittografato. Irrinunciabile è, poi, l’autenticazione a due fattori (Multi-Factor Authentication), ad oggi il metodo più affidabile per proteggere i profili. Il funzionamento è noto: dopo l’inserimento della password, va digitato un secondo fattore, che nella maggior parte dei casi, è un codice numerico generato da uno specifico algoritmo e dalla durata limitata nel tempo o, ancora, di tipo biometrico come l’impronta digitale o il riconoscimento facciale.

Indispensabile, infine, è una chiara politica aziendale in merito agli account. Poiché la sicurezza dei profili rientra nelle responsabilità dei dipendenti mentre sono ancora in servizio, oltre a non condividere, archiviare o scambiare credenziali su reti o dispositivi non protetti, è fondamentale disattivare l’account quando termina il rapporto lavorativo. Identificare e rimuovere questi profili è quanto mai fondamentale perché spesso alcune aziende non disabilitano gli account dei dipendenti che non fanno più parte dell’organizzazione e in quel caso possono diventare una potenziale vulnerabilità.