Molte aziende adottano l’autenticazione a due fattori (2FA) o il single sign-on (SSO), ma potrebbero non offrire ai propri dipendenti una soluzione aziendale per la gestione delle password. I risultati del sondaggio Bitwarden 2023 per la Giornata mondiale della password lo confermano: solo il 23% degli intervistati ha dichiarato di dover usare obbligatoriamente un password manager sul posto di lavoro.
Secondo Julian Cohen, VP della sicurezza e Chief Information Security Officer (CISO) di Ocrolus, fornitore di software per l’automazione documentale con sede a New York, più aziende dovrebbero prendere in considerazione l’adozione di password manager. Nel caso di Ocrolus, l’azienda ha scelto di implementare Bitwarden.
Afferma Cohen: “Poiché il furto di credenziali e il riutilizzo delle password vengono usati per la compromissione degli account e stanno rapidamente diventando tra gli attacchi più comuni contro le organizzazioni, abbiamo messo a punto un piano completo per la sicurezza degli account che naturalmente include elementi come 2FA, SSO e il monitoraggio delle credenziali compromesse. Ma per gli account SSO principali degli utenti, o per i sistemi che non supportano SSO o 2FA o altri sistemi di shadow IT, o semplicemente per account occasionali… il controllo più efficace è un password manager.”
Cohen consiglia ai dipendenti di usare una password univoca e casuale per ogni account. Ritiene che il modo più semplice per farlo sia usarne una generata da un password manager. Poiché i password manager memorizzano anche le password, considera questa tecnologia un modo efficace e “a basso attrito” per mantenere le password al sicuro.
Altri risultati del sondaggio della Giornata mondiale della password danno credito a questa tesi. La stragrande maggioranza, l’85%, degli intervistati a livello globale riutilizza le password su più siti e il 58% si affida alla memoria per le proprie password. Un quinto (20%) degli intervistati a livello globale dichiara di essere stato colpito da una violazione dei dati negli ultimi 18 mesi. Sebbene non sia sempre possibile evitare di essere coinvolti in una violazione dei dati, queste violazioni tendono ad avere un effetto a catena per chi riutilizza le proprie password.
Convincere le persone ad adottare nuovi strumenti, soprattutto quelli per la sicurezza, contribuisce a mantenere le aziende protette e al sicuro. D’altro canto, richiede anche passaggi aggiuntivi da parte dell’IT e degli utenti. Ocrolus si è affidata a Bitwarden SCIM (Sistema per la gestione delle identità tra domini) per effettuare automaticamente il provisioning di membri e gruppi. Fornisce inoltre formazione e documentazione agli utenti su come usare Bitwarden e spiega loro perché è efficace.
“Riceviamo molto supporto dal nostro team TechOps in Ocrolus,” afferma Cohen. “Forniscono supporto tecnico per Bitwarden, lo usano in prima persona e lo impiegano quando effettuano il provisioning di nuovi account e archiviano credenziali condivise.”
Nel valutare come Ocrolus abbia costruito un programma di sicurezza efficace, un programma che ora include Bitwarden, Cohen ritiene che l’azienda abbia tratto beneficio dal disporre di un buon inventario e di una consapevolezza situazionale di dove si trovano le risorse, dal comprendere le aree più rischiose dell’organizzazione e dal concentrarsi sulle priorità.
“Si può sempre esagerare con l’ingegnerizzazione nel tentativo di proteggere qualcosa o provare a implementare ogni tipo di strumento,” afferma Cohen. “Quello che faccio sempre è partire dai miei avversari. Se riusciamo a capire chi sono i nostri avversari, come pianificano e operano, quali sono i loro obiettivi e le loro motivazioni, e quali risorse e vincoli hanno, riusciremo a comprendere cosa è probabile che vedano e come pianificano e operano.”
Così facendo, secondo Cohen, le aziende possono comprendere meglio quali tipi di attacchi è probabile che subiscano e usare queste informazioni per determinare i migliori strumenti di sicurezza da implementare. In molti casi, questo set di strumenti include probabilmente una soluzione di gestione delle password.
Scopri di più sull’annuale Open Source Security Summit.
Guarda l’intervista completa!
Visita opensourcesecuritysummit.com per saperne di più su questa conferenza annuale.
Inizia con Bitwarden
Vuoi provare Bitwarden per la tua azienda? Inizia una prova Business di 7 giorni oggi stesso per proteggere online il tuo team e i colleghi della tua azienda.