Come tenere al sicuro i Digital Wallets

I portafogli digitali continuano a crescere in popolarità grazie alla loro facilità d’uso e alla maggiore sicurezza rispetto ai metodi di pagamento tradizionali, rivoluzionando il modo in cui le aziende e i consumatori effettuano le transazioni. Tuttavia, l’aumento dell’uso dei portafogli digitali costituisce un bersaglio importante per i criminali informatici. È dunque fondamentale seguire le best practice quando si utilizzano i portafogli digitali, per garantire la protezione dell’utente e delle sue informazioni.

Che cos’è un portafoglio digitale?

Un portafoglio digitale è uno strumento di pagamento online, di solito sotto forma di applicazione mobile, che può memorizzare informazioni di un sistema di pagamento (carte di credito, carte di debito, informazioni sul conto bancario), carte regalo, tessere associative, biglietti aerei, carte d’identità e altre informazioni importanti. I portafogli digitali sono frequentemente utilizzati come metodo di pagamento nei negozio e le transazioni avvengono tra il dispositivo mobile dell’utente e il sistema del punto vendita. Con un portafoglio digitale, gli utenti non devono portare con sé carte o contanti per fare acquisti, eliminando così il rischio di smarrimento o furto.

I portafogli digitali più diffusi sono:

Apple Pay
Google Pay
Samsung Pay

Vantaggi di un portafoglio digitale

Livello di sicurezza maggiore
Grazie alla crittografia avanzata e alla tokenizzazione, i portafogli digitali possono essere molto più sicuri delle carte fisiche. Quando le informazioni personali, come i numeri di carta e di conto, vengono aggiunte al portafoglio digitale, i dati vengono crittografati e solo gli utenti autorizzati possono accedervi.

I dati sono ulteriormente protetti attraverso un processo chiamato tokenizzazione che prende i dati criptati e li sostituisce con un token, una stringa di numeri e lettere casuali. Ogni volta che viene effettuato un pagamento, viene generato un token in modo casuale e solo il gateway di pagamento può abbinare il token per accettare il pagamento. Grazie alla crittografia e alla tokenizzazione, le informazioni di pagamento originali diventano illeggibili e inutili per qualsiasi entità non autorizzata che cerchi di accedervi.

Pagamento comodo e veloce
I portafogli fisici possono essere ingombranti, difficili da gestire e poco organizzati, rendendo le operazioni di pagamento lente. I portafogli digitali eliminano la necessità di portare con sé contanti o carte. Attraverso un layout intuitivo con tutte le carte archiviate in un unico posto, il pagamento con un portafoglio digitale richiede solo pochi passi che consentono di risparmiare tempo alla cassa.

Gestione del denaro pratica e semplice
Tenere traccia delle spese attraverso più conti può essere difficile e richiede molto tempo. I portafogli digitali possono semplificare il controllo della spesa, evitando la frustrazione del controllo incrociato di più conti gestendo carte e conti da un unico luogo.

Non solo carte
Sebbene i portafogli digitali siano più comunemente utilizzati e conosciuti per le transazioni in negozio e online, possono anche memorizzare una moltitudine di altri documenti e informazioni importanti. Molte aziende producono versioni digitali di carte fedeltà che i clienti possono conservare nei loro portafogli digitali per continuare a guadagnare premi e a ottenere offerte speciali. I portafogli digitali possono anche memorizzare:

Carte regalo
Carte d’imbarco
Biglietti per eventi
Patenti di guida
Prenotazioni alberghiere
Buoni sconto digitali

Le Best Practices per l’utilizzo di un portafoglio digitale

Sebbene i portafogli digitali siano un metodo altamente sicuro per archiviare informazioni personali sensibili, ci sono ulteriori accorgimenti da adottare per garantire il massimo livello di protezione.

Rimanere aggiornati sulle violazioni dei dati
Le notizie di gravi violazioni di dati sono fin troppo frequenti, ma le aziende non sono l’unico bersaglio. I criminali informatici possono prendere di mira chiunque e l’accesso a informazioni finanziarie sensibili è un interesse primario per loro. Uno scanner o monitor del dark web è uno strumento utilizzato per scansionare il dark web alla ricerca delle vostre credenziali per vedere se qualcuna di esse è stata trovata in una violazione. È possibile utilizzare uno strumento gratuito di scansione personale o aziendale del dark web per assicurarsi che le proprie credenziali siano al sicuro. Keeper offre il componente aggiuntivo BreachWatch, che monitora il dark web alla ricerca di account violati e vi avvisa in modo che possiate agire immediatamente per proteggervi dai criminali informatici.

Utilizzare l’autenticazione a più fattori
Sebbene una password forte e complessa sia altamente raccomandata per proteggere qualsiasi cosa che memorizzi informazioni sensibili, non è l’unica azione che potete intraprendere per proteggere il vostro portafoglio digitale. L’implementazione dell’autenticazione a due o più fattori è un modo semplice per mantenere i vostri dati protetti e prevenire gli attacchi informatici. L’autenticazione a più fattori (MFA) è un metodo di autenticazione in cui all’utente viene concesso l’accesso a un sito web, a un’applicazione o a una piattaforma solo dopo aver fornito più fattori di verifica che ne convalidano l’identità. L’MFA offre diversi metodi di autenticazione, tra cui Face ID, scanner di impronte digitali, SMS o un’app come Google Authenticator.

Evitate di fare acquisti sul WiFi pubblico
La capacità di un criminale informatico di frapporsi tra voi e il punto di connessione rappresenta la principale vulnerabilità di sicurezza del WiFi pubblico. L’utilizzo del WiFi pubblico vi espone al rischio di cadere vittima di attacchi man-in-the-middle. Durante questi attacchi, l’utente comunica inconsapevolmente con il criminale informatico, che raccoglie e trasmette le informazioni all’hotspot, invece di connettersi direttamente all’hotspot. Se fate acquisti mentre siete connessi a una rete WiFi non protetta, un criminale informatico potrebbe vedere le vostre informazioni finanziarie e cercare di usarle per commettere una frode. Sebbene esistano modi per rimanere protetti sul WiFi pubblico, ad esempio con una VPN, è comunque consigliabile evitare di utilizzarli.

Creare password forti
Le password forti devono essere lunghe, complesse e difficili da ricordare. Le password semplici e utilizzate di frequente, come password 123 o il nome di vostro figlio, sono semplici da ricordare ma anche da decifrare per i criminali informatici. La prima linea di difesa contro i criminali informatici che si introducono nel vostro portafoglio digitale e rubano i vostri dati personali è utilizzare password forti e uniche.

Utilizzare un gestore di password
L’uso di un gestore di password come Keeper non solo aiuta a generare password forti, ma le memorizza in modo sicuro, impedendo ai criminali informatici di accedere al vostro portafoglio digitale.

Tenere traccia delle informazioni sui pagamenti
I portafogli digitali rendono più facile che mai tenere traccia delle transazioni e delle informazioni finanziarie, tuttavia è ancora importante e altamente consigliato tenere sotto controllo la cronologia delle transazioni e gli estratti conto bancari per assicurarsi che non ci siano attività non autorizzate. Inoltre, le informazioni sui pagamenti dovrebbero essere sempre aggiornate per fornire i dettagli più accurati.

Keeper consente agli utenti di archiviare, generare e gestire in modo sicuro le proprie password, creando password casuali ad alta resistenza per ogni sito web, applicazione e servizio e archiviandole in una cassetta digitale crittografata.

Fonte: Keeper Security

I costi delle violazione dei dati hanno raggiunto livelli record, e la maggior parte sono causate da credenziali di accesso rubate

Un nuovo rapporto del Ponemon Institute, commissionato da IBM Security, rivela che la pandemia COVID-19 ha spinto i costi delle violazioni dei dati a livelli record, e in accordo con altri studi, la maggior parte delle violazioni coinvolgono credenziali di accesso compromesse.

Secondo il report “Cost of a Data Breach 2021“, le organizzazioni possono aspettarsi di sborsare una media di 4,24 milioni di dollari per incidente, un aumento del 10% rispetto allo scorso anno, e il più alto nei 17 anni in cui IBM ha compilato il report. Per l’undicesimo anno di fila, il settore sanitario ha il più alto costo medio per la violazione dei dati, 9,23 milioni di dollari per incidente, un aumento di quasi il 30% rispetto allo scorso anno.

Mentre le violazioni del settore pubblico tendono a costare molto meno della media, “solo” 1,93 milioni di dollari, questo settore ha visto un enorme aumento del 78,7% del costo totale medio dal 2020.

Gli attacchi di ransomware costano ancora di più delle violazioni dei dati, con un costo medio per incidente di 4,62 milioni di dollari – e questo non include il costo del pagamento del riscatto, come fa quasi la metà delle organizzazioni statunitensi.

Il lavoro a distanza fa salire i costi di violazione dei dati

La pandemia COVID-19 ha costretto le organizzazioni ad adottare improvvisamente il lavoro remoto, senza preavviso e su larga scala, spesso a scapito della sicurezza informatica. Il rapporto IBM riflette questo, affermando che le violazioni in cui il lavoro remoto era un elemento costano oltre 1 milione di dollari in più rispetto alla media. Inoltre, le organizzazioni in cui più della metà della forza lavoro lavorava in remoto hanno impiegato in media 58 giorni in più per identificare e contenere le violazioni.

Le credenziali di accesso rubate causano la maggior parte delle violazioni

In accordo con altri studi, il rapporto ha scoperto che le credenziali di accesso compromesse hanno causato la maggior parte delle violazioni. Inoltre, le violazioni dei dati causate da credenziali compromesse hanno il più lungo “dwell time”, che misura il periodo tra quando un criminale informatico viola un sistema e quando il personale di sicurezza lo rileva.

Se un criminale informatico utilizza credenziali rubate per violare una rete, rimarrà inosservato per una media di 250 giorni, rispetto a 212 per le violazioni causate da altri mezzi. Il tempo di permanenza più lungo della media è dovuto al fatto che le credenziali rubate permettono ai criminali informatici di bypassare firewall, software antivirus, sistemi di rilevamento delle intrusioni (IDS) e altre difese tecniche.

Keeper blocca le violazioni dei dati alla fonte

Con i costi di violazione dei dati in aumento e le credenziali di accesso rubate come vettore di minaccia numero uno, è più importante che mai per le organizzazioni garantire che i loro dipendenti seguano buone pratiche di sicurezza delle password, come l’uso di password forti e uniche per ogni account, l’abilitazione dell’autenticazione a più fattori (2FA) ovunque sia supportata e l’utilizzo di una piattaforma di gestione delle password come Keeper.

Keeper, la piattaforma zero-knowledge di crittografia e sicurezza delle password di livello enterprise offre agli amministratori IT una visibilità completa sulle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle stesse e di applicare le politiche di sicurezza delle password in tutta l’organizzazione. Keeper richiede solo pochi minuti per l’implementazione, ha bisogno di una gestione minima e si adatta alle esigenze di organizzazioni di qualsiasi dimensione

Per una maggiore protezione, le organizzazioni possono implementare preziosi add-on come Keeper Secure File Storage, che consente ai dipendenti di archiviare e condividere in modo sicuro documenti, immagini, video e persino certificati digitali e chiavi SSH, e BreachWatch™, che analizza i forum del Dark Web e notifica agli amministratori IT se le password dei dipendenti sono state compromesse in una violazione pubblica dei dati.

Fonte: Keeper Security

World Password Day 2021: perché la sicurezza delle password è importante

Il World Password Day, che viene osservato ogni anno il primo giovedì di maggio, è un ottimo promemoria per ricordare che le password continuano a svolgere un ruolo chiave nel mantenere sicuri i sistemi e i dati online. Il World Password Day è il momento perfetto per riconoscere l’importanza dell’umile password e raddoppiare gli sforzi per mantenere sicure le nostre password e la nostra identità digitale.

La cattiva gestione delle password è dilagante

Poiché le password sono ancora molto importanti e lo saranno per il prossimo futuro, sia gli individui che le organizzazioni devono tenerle al sicuro. Tuttavia, il Workplace Password Malpractice Report di Keeper, condotto a febbraio, dimostra che la negligenza sulle password sta lasciando le organizzazioni vulnerabili ai cyberattacchi. Ecco alcuni dei punti salienti:

Più della metà dei dipendenti americani (57%) sta attualmente scrivendo le password relative al lavoro su post-it, e il 67% ha perso questi foglietti adesivi in passato, rendendo impossibile sapere chi alla fine ha accesso a informazioni aziendali potenzialmente sensibili.
Nel frattempo, il 62% degli intervistati usa un quaderno o un diario per memorizzare login e password, e la stragrande maggioranza (82%) afferma di tenere questi quaderni accanto o vicino ai propri dispositivi di lavoro.
Questo è diventato ancora più un problema dato che molti americani continuano a lavorare da casa. La maggior parte dei lavoratori (66%) dice che è più probabile che scriva le password relative al lavoro mentre lavora da casa, piuttosto che in ufficio. Oltre a scrivere le password relative al lavoro, i dipendenti statunitensi stanno anche salvando i loro login elettronicamente in una varietà di modi che presentano un rischio significativo. Quasi la metà (48,9%) sta salvando le password relative al lavoro in un documento nel cloud.
La metà degli intervistati (51%) dice che attualmente salvano le loro password in un documento sul loro desktop, mentre più della metà degli intervistati (55%) attualmente salvano le password relative al lavoro sul loro telefono.

Le password sono ancora importanti, anche quando si usa la biometria

La “tecnologia senza password”, come gli scanner biometrici, dipende ancora dalle password per autenticare gli utenti. Gli scanner di impronte digitali, il riconoscimento facciale e dell’iride non “sostituiscono” le password; fanno solo in modo che gli utenti finali non debbano digitarle in continuazione. La password viene ancora usata per l’autenticazione; l’utente finale semplicemente non la vede.

Notate che quando si imposta la biometria, l’autenticatore richiede all’utente di scegliere una password o un PIN. Oltre a permettere all’utente finale di bypassare la biometria e digitare la password o il PIN, la password o il PIN sono richiesti. Uno sguardo a come funzionano le cose dietro le quinte dimostra il perché:

L’utente finale scansiona la sua impronta digitale, l’iride o il viso.
L’autenticatore biometrico determina se la scansione corrisponde a ciò che ha in archivio.
In caso di esito positivo, l’autenticatore decifra la password dell’utente dal portachiavi del dispositivo e la trasmette all’app, che esegue un’autenticazione finale basata su quella password.

Le password legate a questi dati biometrici possono essere indovinate o rubate. I database contenenti dati biometrici possono essere e sono stati violati. Mentre una password può essere cambiata se viene rubata, un’impronta digitale, l’iride o il volto no. Per queste ragioni, la biometria non dovrebbe mai essere usata come opzione di login a sé stante, ma solo come parte di una configurazione di autenticazione a più fattori.

Anche le migliori tecnologie senza password si basano su una buona gestione delle password e una piattaforma di crittografia forte

Le migliori tecnologie “senza password” si basano ancora sulla sicurezza della password e sulla piattaforma di crittografia come le soluzioni di Keeper. Oltre a compilare automaticamente le password (e anche i codici 2FA) su siti web e app, Keeper genera automaticamente password forti e casuali, rendendo facile per gli utenti utilizzare password forti e uniche per ogni sito. Come con gli autenticatori biometrici, le password sono ancora lì, ma gli utenti non devono memorizzarle tutte, e sono memorizzate all’interno di una cassetta di sicurezza a cui si può accedere da qualsiasi dispositivo. Keeper supporta il login biometrico con Windows Hello, Touch ID e Face ID per un comodo accesso.

Fonte: Keeper Security