Cosa è un Password Manager?

I gestori di password sono strumenti che offrono agli utenti e alle aziende la possibilità di tenere traccia, archiviare, proteggere, condividere e gestire le password delle applicazioni e dei servizi online.

Le soluzioni di gestione delle password sono fondamentali per mantenere gli utenti sicuri e protetti durante la navigazione in rete. Poiché i criminali informatici si infiltrano sempre più spesso nelle reti aziendali, è importante che le aziende adottino le misure necessarie per garantire la sicurezza degli account aziendali. In base al report Cybersecurity in the Remote Work Era: A Global Risk di Ponemon Institute commissionato da Keeper Security nel 2020, il 60% degli intervistati ha riferito che le loro organizzazioni hanno subito un attacco informatico nei 12 mesi precedenti. Inoltre, secondo il Data Breach Investigations Report 2021 di Verizon, le password rubate o compromesse sono responsabili dell’81% delle violazioni di dati andate a buon fine.

La sicurezza non è l’unico motivo che spinge le aziende a implementare un password manager. Per i dipendenti è estremamente difficile tenere traccia delle numerose credenziali di accesso che utilizzano per svolgere il proprio lavoro, il che danneggia la produttività dell’organizzazione. I gestori di password eliminano virtualmente la necessità per i dipendenti di presentare ticket all’help desk per la reimpostazione delle password.

Come funzionano i gestori di password?
I gestori di password basati sul web, come le soluzioni di Keeper Security, LastPass e 1Password, memorizzano le password in una cassetta di sicurezza digitale sicura e basata su cloud. Ciò consente agli utenti di accedere alle password da qualsiasi luogo e con qualsiasi dispositivo. Gli utenti possono accedere alla loro cassetta sicurezza di password attraverso l’applicazione web del gestore di password o scaricando l’applicazione per desktop, l’estensione del browser o l’applicazione per dispositivi mobili.

Questo significa che il provider ha accesso alle password dei suoi utenti? No! I gestori di password come Keeper utilizzano la sicurezza zero-trust e zero-knowledge. Ciò significa che le password vengono crittografate sul dispositivo dell’utente prima di essere inviate al server cloud, impedendo così alla società di gestione delle password – e ai malintenzionati – di accedervi. L’utente ha sempre il pieno controllo della propria password principale e delle chiavi di crittografia utilizzate per criptare e decriptare le informazioni. Keeper non può accedere alle vostre informazioni perché tutte le chiavi di crittografia sono generate sui vostri dispositivi, non nella nostra infrastruttura.

Perché un’azienda dovrebbe utilizzare un gestore di password?
Mentre la pandemia costringeva tutti a spostare online il lavoro, gli acquisti, l’istruzione e le attività di svago, molte persone hanno continuato ad adottare abitudini scorrette in materia di password, come il riutilizzo delle password per tutti gli account. Non sorprende che i cyberattacchi che coinvolgono nomi utente e password siano aumentati del 450% nel 2019, con il risultato di oltre un miliardo di record compromessi nei soli Stati Uniti, secondo il ForgeRock Consumer Identity Breach Report del 2021.

Le violazioni di dati che coinvolgono i dati dei clienti, gli indirizzi dei dipendenti e altre informazioni private possono creare problemi legali alle aziende. ForgeRock stima che negli ultimi tre anni siano stati esposti oltre 11 miliardi di dati di consumatori.

Il mercato globale del password management è in crescita perché le organizzazioni cercano di prevenire le violazioni dei dati
Con gli attacchi informatici sempre più frequenti, le organizzazioni devono adottare misure per proteggere i propri dati e si rivolgono sempre più spesso ai gestori di password. Grandview Research prevede che il mercato globale della gestione delle password registrerà un tasso di crescita annuale del 19,4% e raggiungerà i 2.056,3 milioni di dollari entro il 2025.

Source: Grandview Research — Password Management Market Size

I settori che utilizzano i password manager sono: banche, servizi finanziari e assicurativi, settore pubblico e servizi di pubblica utilità, istruzione, manifatturiero, sanità, distribuzione al dettaglio e all’ingrosso, telecomunicazioni e IT. Il rapporto di ForgeRock rileva che il settore sanitario rappresenta il 34% di tutte le violazioni nel 2020, con i servizi finanziari al secondo posto (12% di tutte le violazioni), seguiti dall’istruzione (8%).

Quanto sono forti le password dei vostri dipendenti?
I vostri dipendenti utilizzano password uniche per ogni account o si limitano a riutilizzare piccole variazioni della stessa password di base? Le password dei vostri dipendenti sono complesse, cioè contengono un mix di lettere maiuscole, minuscole, numeri e simboli, oppure sono tutte minuscole con un solo simbolo speciale?

È estremamente difficile per gli esseri umani ricordare più password, ed è per questo che molte persone ricorrono a cattive abitudini in materia di password. Secondo il Workplace Password Malpractice Report, commissionato da Keeper, le persone utilizzano spesso le stesse strategie quando creano le password:

Oltre un terzo (37%) degli intervistati ha utilizzato il nome del proprio datore di lavoro in una password legata al lavoro.
Oltre un terzo (34%) ha usato il nome o la data di nascita dell’altra persona.
Quasi un terzo (31%) ha usato il nome o la data di nascita del proprio figlio.

I gestori di password hanno una funzione di generatore automatico di password, che crea automaticamente password forti e uniche e le salva automaticamente nella cassetta di sicurezza digitale dell’utente. Gli utenti non sono più obbligati a memorizzare le loro password e queste sono difficili da indovinare per i criminali informatici. Quando un gestore di password è abbinato al single sign-on (SSO), per gli utenti è ancora più facile: possono accedere a più applicazioni con un unico ID.

Source: Keeper Workplace Practice Malpractice Report 2021

Maggiore protezione contro il phishing e il furto di identità
Molte persone sono vittime di siti ed email di phishing. Il phishing consiste nell’invio da parte di un aggressore di un messaggio falso per indurre una persona a rivelare informazioni private o a installare un malware sul suo computer.

Secondo una ricerca IBM, il phishing è stato il vettore di infezione più comune per le società di servizi finanziari, con il 46% degli attacchi a questo settore nel 2021. Al secondo posto, con il 31% degli attacchi, si trova lo sfruttamento delle vulnerabilità. Altri vettori di infezione osservati sono stati gli attacchi di forza bruta, il password spraying e l’accesso alle VPN.

Il software di gestione delle password può evitare che gli utenti cadano vittima di schemi di phishing. Quando un utente visita un sito web per il quale ha precedentemente creato un account e memorizzato le credenziali nel suo archivio di password, il gestore di password visualizzerà un’icona nella barra del browser. Questa icona indica che l’utente ha memorizzato le informazioni dell’account per questo sito web nel proprio archivio password. Al contrario, se un utente fa clic su un link in un’email di phishing e viene indirizzato a un sito truffaldino, il gestore di password non riconosce l’URL e l’icona non appare. Questo è un segnale di allarme per l’utente, che indica che non sta visitando il sito che pensava.

I gestori di password fanno risparmiare tempo
In alcune circostanze, più dipendenti possono avere bisogno di condividere l’accesso a un account. Tuttavia, una cattiva gestione delle password può creare confusione e causare il blocco o la sospensione degli account.

Uno strumento di gestione delle password garantisce che i dipendenti possano condividere le credenziali degli account in modo semplice e sicuro, senza dover memorizzare le password condivise o scriverle. Le password condivise vengono archiviate in una cartella condivisa, alla quale possono accedere tutti i dipendenti autorizzati.

Cosa succede se non si utilizza uno strumento di gestione delle password?
Se non utilizzate un gestore di password, le vostre password e i vostri account rischiano di essere violati dai criminali informatici. Ad esempio, se un dispositivo è infettato da un malware di keylogging, i criminali informatici possono registrare tutte le password digitate dagli utenti. Poiché i gestori di password compilano automaticamente le informazioni di accesso dell’utente, non è possibile registrare nessuna chiave.

Lo studio State of Cybersecurity in Small and Medium-Sized Businesses ha rilevato che:

Il 66% degli intervistati ha segnalato una violazione dei dati nell’ultimo anno.
Il 69% ha subito un attacco che ha superato il sistema di rilevamento delle intrusioni.
Il 70% delle PMI ha dichiarato che le password dei propri dipendenti sono state perse o rubate nell’ultimo anno.

Cosa cercare in uno strumento per la gestione delle password
I gestori di password aiutano le aziende a prevenire le violazioni dei dati e le relative perdite finanziarie. Tuttavia, con così tante opzioni sul mercato, è facile sentirsi sopraffatti quando si valutano i gestori di password. Vediamo alcune delle caratteristiche principali da ricercare.

Personalizzazione e flessibilità
Il gestore di password è più adatto a un singolo utente, a una piccola azienda o a una grande impresa? I potenziali utenti dovrebbero considerare quali sono le caratteristiche di cui hanno bisogno. I migliori gestori di password offrono pacchetti diversi, adatti a singoli utenti, famiglie e aziende di diverse dimensioni.

Piani personali e familiari: Ideali per i singoli utenti e le famiglie che desiderano una maggiore protezione online.
Piani business e aziendali: Progettati per le aziende che richiedono account per i singoli dipendenti, oltre a un pannello di controllo dove gli amministratori IT possono abilitare e disabilitare gli account, monitorare l’uso delle password da parte dei dipendenti, eseguire report ed altre funzioni di amministratore.

Le caratteristiche e i vantaggi dei gestori di password possono variare notevolmente da un fornitore all’altro. Mentre alcune funzioni sono incluse nel pacchetto base, altre sono in genere componenti aggiuntivi che comportano un costo addizionale. I componenti aggiuntivi più comuni includono:

Monitoraggio del dark web: Notifica agli utenti se le credenziali del loro account sono state trovate nel dark web.
Messaggistica sicura: Messaggistica aziendale iper-sicura che elimina i rischi associati alla fuga di dati e alle comunicazioni non criptate.
Concierge service: servizio e assistenza clienti esperti 24 ore su 24, 7 giorni su 7.

Supporto per l’autenticazione a più fattori (MFA)
Per un ulteriore livello di sicurezza, assicuratevi che il gestore di password supporti l’autenticazione a più fattori. Quando MFA è abilitata, agli utenti viene concesso l’accesso a un sito web o a un’applicazione solo dopo aver fornito con successo due o più elementi di prova per dimostrare che sono chi dichiarano di essere. Ad esempio, oltre a fornire una password, all’utente può essere richiesto di:

Fornire un codice di sicurezza da un’email, un messaggio di testo o un’applicazione.
Rispondere a domande di sicurezza.
Superare una scansione delle impronte digitali o del riconoscimento facciale.

Recensioni online
Leggere le recensioni dei clienti online può aiutare le aziende a trovare un gestore di password affidabile. Per alcune delle soluzioni di gestione delle password più diffuse, date un’occhiata alle recensioni di Gartner sui gestori di password aziendali.
Altri metodi per trovare un gestore di password affidabile sono:

Esecuzione di un penetration test: Si tratta essenzialmente di un test in cui qualcuno si mette nei panni di un aggressore e utilizza un software di hacking per testare la rete contro gli attacchi.
Recensioni imparziali: Alcune aziende forniscono link a influencer per “recensire” i loro servizi. Queste recensioni possono essere parziali per consentire all’influencer di ottenere una commissione. Quando fate una ricerca, fate attenzione ai recensori che offrono un codice sconto.
Recensioni editoriali: I recensori tecnici associati a una rivista o a una piattaforma multimediale possono essere tenuti a seguire linee guida e metodologie editoriali per produrre risultati oggettivi.

Best practice per la protezione delle password
I gestori di password includono una funzione di generatore di password che consente di creare automaticamente password forti e uniche per gli utenti. È meglio utilizzare sempre un generatore di password, ma a volte è necessario creare le proprie password, ad esempio quando si sceglie la password principale per accedere al gestore di password. Seguite questi consigli per creare password difficili da indovinare per i criminali informatici.

Non riutilizzare le password

Il Workplace Password Malpractice Report di Keeper ha rilevato che il 44% degli intervistati ha riutilizzato le password tra gli account personali e quelli legati al lavoro. Se l’account personale del dipendente viene violato, i criminali informatici possono utilizzare la stessa password per violare gli account di lavoro.

Creare password complesse

Per aumentare la sicurezza, spesso i siti richiedono che le password contengano una combinazione casuale di lettere minuscole, maiuscole, numeri e caratteri speciali, senza parole del dizionario. Anche la lunghezza contribuisce alla complessità della password. Le password dovrebbero essere lunghe almeno 8 caratteri, e preferibilmente di più.

Un trucco semplice consiste nell’utilizzare una passphrase al posto della password. Pensate a esperienze personali casuali che possano creare frasi uniche, quindi utilizzate il primo carattere di ogni parola per creare la vostra passphrase. Ad esempio, “My first apartment was at 2630 Hegal Place #42 Alexandria VA 23242″, il risultato è la password Mfawa2630HP#42AV23242”. Questa password è forte, unica e quasi impossibile da indovinare per un malintenzionato, ma è anche facile da ricordare, perché basta memorizzare la frase.

Abilitare l’autenticazione a più fattori

L’abilitazione MFA, ovunque sia supportata, garantisce che anche se un criminale informatico riesce a entrare in possesso di una delle vostre password, questa sarà per lui inutile senza il fattore di autenticazione aggiuntivo.

Come le aziende possono sfruttare i gestori di password per applicare le best practices di sicurezza
I gestori di password di livello aziendale e di tipo enterprise contengono funzioni che consentono alle organizzazioni di monitorare l’uso delle password da parte dei dipendenti e di applicare le best practices di sicurezza, tra cui:

Utilizzare password forti e uniche per ogni account.
Non condividere le password con persone non autorizzate.
Abilitazione MFA ovunque sia supportata.
Accesso con privilegi minimi e controllo degli accessi basato sui ruoli.

Che cos’è Keeper Security?
Keeper Security è un gestore di password che consente a persone, famiglie e organizzazioni pubbliche e private di ogni dimensione di memorizzare, generare e gestire le proprie password per applicazioni locali e servizi online. Keeper previene le violazioni dei dati, i ransomware e altri attacchi legati alle password creando password casuali per ogni sito web, applicazione e servizio e memorizzandole in una cassetta di sicurezza digitale crittografata.

In questo video, Craig Lurey, CTO e cofondatore di Keeper Security, spiega come Keeper Enterprise può proteggere il vostro team.

Vantaggi dell’utilizzo di Keeper come gestore di password
Dalla generazione di password forti alla scansione del dark web, Keeper offre una serie di soluzioni sia per i singoli utenti che per le aziende.

Aziende e imprese. Dalle piccole start-up alle multinazionali, Keeper offre pacchetti per aziende di tutte le dimensioni.
Personale e famiglia. Perfetto per gli utenti dei social media e di Internet che faticano a ricordare tutte le loro password online.

Protezione dal Dark Web
BreachWatch, lo strumento di monitoraggio del dark web di Keeper, analizza le cassette di sicurezza di Keeper degli utenti alla ricerca di password esposte nel dark web. Se trova una corrispondenza, BreachWatch informa immediatamente l’utente affinché possa cambiare la password compromessa.

Chat di messaggistica facile e sicura
KeeperChat è una soluzione di messaggistica aziendale iper-sicura che elimina i rischi associati alla messaggistica non criptata. Chi lavora nel settore sanitario, legale, finanziario, della pubblica amministrazione o in qualsiasi altro campo che richieda una stretta riservatezza può trarre vantaggio da KeeperChat.

Tenete al sicuro la vostra azienda con Keeper Security
Keeper offre una varietà di pacchetti per soddisfare le esigenze di qualsiasi organizzazione. Grazie a funzionalità quali KeeperChat, BreachWatch, KeeperFill e altre ancora, le aziende possono essere certe che le password dei dipendenti e le informazioni aziendali siano al sicuro.

Riepilogo: punti chiave

Che cos’è un gestore di password? E perché usarne uno?
Un password manager è uno strumento che offre agli utenti la possibilità di tenere traccia, archiviare, proteggere, condividere e gestire le password per le applicazioni e i servizi online. Poiché il 70% delle PMI ha dichiarato che le password dei propri dipendenti sono state perse o rubate nell’ultimo anno, è indispensabile che le organizzazioni implementino strumenti e best practice di cybersecurity per proteggersi dagli attacchi informatici legati alle password.

Cosa devo cercare quando valuto i gestori di password?
Quando valutate i password manager, cercate soluzioni flessibili e personalizzabili, che supportino l’autenticazione a più fattori e che siano state sottoposte a verifiche ISO 27001 e SOC 2. Queste tre aree di interesse vi aiuteranno a trovare un password manager adatto a voi e alla vostra azienda.

Perché Keeper dovrebbe essere la soluzione di gestione delle password?
Keeper è una soluzione completa per proteggere le password e le altre informazioni sensibili della vostra azienda. Oltre alla piattaforma di gestione delle password, che gode di ottima reputazione, Keeper offre le seguenti soluzioni aziendali:

BreachWatch – una soluzione di monitoraggio del dark web che avvisa gli utenti se le loro informazioni vengono trovate sui mercati online della criminalità informatica.
Keeper Connection Manager – una soluzione di desktop remoto senza agente, ideale per le aziende con forza lavoro remota o ibrida.
Secrets Manager – una piattaforma cloud-based, zero-knowledge per proteggere i segreti dell’infrastruttura IT, come chiavi SSH, password del firmware e credenziali privilegiate.

Fonte: Keeper Security

Webinar – Keeper Security 22 giugno 2022 dalle 15:00

Vorremmo invitarti ad un esclusivo evento virtuale per rivenditori che C.H. Ostfeld Servizi ospiterà con Keeper Security il 22 giugno 2022 dalle 15:00 alle 16:00.

Keeper offre una piattaforma di cybersecurity che protegge password, segreti e accesso alle infrastrutture. Insieme ai nostri esperti faremo un approfondimento su come Keeper mette al riparo i clienti dalle violazioni di identità e fornisce alle organizzazioni un moderno Privileged Access Management per proteggere ogni utente su ogni dispositivo, a livello aziendale.

Agenda:
15:00 – 15:05 h: Benvenuto e introduzione
Fabrizia Cataneo, C.H. Ostfeld Servizi

15:05 – 15:10 h: Channel & Partner Program Keeper
Gonzalo Morell, Keeper Security Ltd.

15:10 – 15:50 h: Proteggere i segreti dell’infrastruttura e le credenziali privilegiate
Presentazione e demo
Rolando Negrini e Alessandro Ghezzi, C.H. Ostfeld Servizi

15:50 – 16:00 h: Domande e Risposte

Capire l’importanza e i benefici di business della protezione dei dati risevati e sensibili dell’infrastruttura IT. Keeper Secrets Manager è una piattaforma completamente gestita, basata sul cloud e a zero-knowledge, per mettere in sicurezza i segreti dell’infrastruttura come chiavi API, password di database, chiavi di accesso, certificati e qualsiasi tipo di piattaforma di dati riservati senza aggiungere complessità o dover investire in hardware extra.

Le credenziali privilegiate sono alcuni degli obiettivi di più alto valore per i criminali informatici. Le organizzazioni con forza lavoro distribuita hanno bisogno di un modo sicuro per accedere da remoto alle macchine o ai desktop. Con Keeper Connection Manager (KCM) i team DevOps e IT possono accedere istantaneamente agli endpoint RDP, SSH, database e Kubernetes attraverso un browser web con sicurezza zero-trust. KCM è un gateway desktop remoto agentless che può essere installato in qualsiasi server on-premise o ambiente cloud.

Ottieni una panoramica sul nostro programma partner e su come Keeper Secrets Manager e Keeper Connection Manager possono aiutarti a migliorare il tuo business.

Registrati qui

Non vediamo l’ora di darti il benvenuto!

Cordiali saluti

Keeper – Condivisione sicura di dati riservati una tantum

Condivisione sicura per un tempo limitato di un record con chiunque, senza dover creare un account Keeper.

La funzione “One-Time Share” di Keeper consente di condividere in modo sicuro e limitato nel tempo un record con chiunque, senza dover creare un account Keeper. One-Time Share è il modo più sicuro per inviare informazioni riservate a una persona esterna o a un fornitore senza esporre le informazioni tramite e-mail, messaggi di testo o messaggistica.

Le condivisioni una tantum sono sicure “by design” e utilizzano la crittografia Zero-Knowledge di Keeper. I dati del record vengono decifrati localmente sul dispositivo del destinatario utilizzando AES a 256 bit e tutte le richieste al server sono firmate con crittografia a curva ellittica (ECDSA).

La funzione One-Time Share è disponibile solo per i record creati dopo il 26 aprile 2021, data di pubblicazione dei Record Types. Se non si vede la funzione One-Time Share, provare a creare un nuovo record.

Come condividere

Per creare una condivisione una tantum, aprire un record Keeper e fare clic su Options > One-Time Share.

Selezionare la durata di validità del link di condivisione. Il record scadrà in un momento a scelta e potrà essere utilizzato su un solo dispositivo. Anche se ci si dimentica di annullare la condivisione, il record scadrà e l’accesso verrà revocato.

I link di condivisione scadono dopo il periodo di tempo selezionato anche se il link non viene utilizzato.

È possibile copiare il link o l’invito per condividere il record con un’altra persona. Oppure è sufficiente scorrere verso il basso e scansionare il codice QR.

Quando il destinatario apre il link, il record viene visualizzato nel browser del dispositivo.

Come ulteriore livello di sicurezza, le condivisioni una tantum sono device-locked, il che significa che solo il destinatario originale è in grado di accedere ai dati. Se il link viene aperto in un secondo momento da terzi o se il vostro account di posta elettronica viene compromesso, non è possibile accedere al link, se non sul dispositivo originale.

Casi d’uso

Condividere le credenziali di accesso con un fornitore
Condividere un file crittografato con un collega
Fornire documentazione o istruzioni sicure

Invio dei link one-time share

I link One-Time Share possono essere inviati ai destinatari tramite qualsiasi canale attendibile, ad esempio:

Scansione diretta del codice QR
Airdrop
E-mail
sms
Piattaforme di messaggistica aziendale
Qualsiasi altro canale out-of-band

Le applicazioni e gli utilizzi sono praticamente infiniti. Ogni volta che si ha la necessità di fornire dati in modo sicuro a un utente non Keeper, le One-Time Share sono la scelta perfetta.

Condivisione una tantum con Keeper Commander

E’ possibile creare collegamenti One-Time Share in modo automatizzato utilizzando lo strumento CLI di Keeper Commander.

Commander offre controlli aggiuntivi come tempi di scadenza dettagliati, metodi di output aggiuntivi e la possibilità di rimuovere le condivisioni una tantum create in precedenza.

Per ulteriori informazioni, consultare la documentazione di Keeper Commander qui.

Fonte: Keeper Security

3 sfide Zero Trust e come superarle

Il modello di sicurezza zero trust sta rapidamente guadagnando popolarità perché funziona così bene negli ambienti di dati distribuiti di oggi. Oltre alle applicazioni e ai dati sparsi su più cloud privati e pubblici, gli utenti accedono alle risorse aziendali da più luoghi, su più dispositivi, da connessioni internet domestiche che pubbliche, come nei caffè e negli hotel.

Quando le organizzazioni implementano correttamente il modello zero-trust, gli amministratori IT ottengono piena visibilità su tutti gli utenti, i sistemi e i dispositivi. Persone, applicazioni e servizi possono comunicare in modo sicuro, anche attraverso ambienti di rete. Il modello Zero Trust riduce notevolmente il rischio di cyberattacchi legati alle password, così come il rischio di escalation dei privilegi se la rete viene violata. La superficie di attacco dell’organizzazione è ridotta al minimo e l’ambiente dei dati è, in generale, molto più sicuro.

Tuttavia, l’implementazione di un modello di accesso alla rete zero trust comporta delle sfide.

Sfida #1: Da dove comincio?

Il primo ostacolo per un’implementazione di successo del modello zero trust è sapere come iniziare. È facile sentirsi sopraffatti all’inizio del viaggio.

I login dei dipendenti sono il posto migliore per iniziare, per tre motivi:

Poiché la verifica dell’utente e del dispositivo sono al centro del modello zero trust, un’implementazione di successo dipende dalla capacità delle organizzazioni di applicare una sicurezza completa delle password.
Le password compromesse causano la stragrande maggioranza delle violazioni dei dati e degli attacchi ransomware.
Una piattaforma di sicurezza delle password è una delle soluzioni più semplici e meno costose che si possono inserire nel proprio stack tecnologico. Per esempio, la soluzione enterprise password management (EPM) di Keeper si installa in pochi minuti.

Proteggere i login dei dipendenti permette alle organizzazioni di iniziare con il modello zero trust in modo rapido, relativamente facile e molto conveniente, affrontando direttamente la causa numero uno dei cyberattacchi: password deboli e rubate.

Sfida #2: Attenzione alla sicurezza

Se il modello zero trust viene implementato in modo errato, può lasciare gravi lacune nella sicurezza. Riconoscere queste potenziali lacune permette alle organizzazioni di evitarle.

Molte organizzazioni implementano soluzioni single sign-on (SSO) come parte della loro architettura zero trust. SSO è fantastico. Riduce lo stress delle password dei dipendenti, elimina virtualmente i ticket dell’help desk per le password perse e rende più facile per il personale IT inserire nuovi dipendenti e revocare rapidamente l’accesso ai dipendenti che lasciano l’azienda. Tuttavia, SSO non coprirà tutte le applicazioni che la vostra azienda utilizza, quindi assicuratevi di implementare un gestore di password di livello enterprise che si integri con il vostro identity provider (IdP) SSO.

Per esempio, Keeper SSO Connect è una soluzione SaaS SAML 2.0 completamente gestita che può essere distribuita su qualsiasi istanza o in qualsiasi ambiente Windows, Mac OS o Linux, nel cloud o on-prem. Si integra facilmente e senza soluzione di continuità con tutte le piattaforme SSO IdP popolari, tra cui Microsoft 365, Azure, ADFS, Okta, Ping, JumpCloud, Centrify, OneLogin e F5 BIG-IP APM.

Le minacce interne rappresentano un’altra minaccia alla sicurezza zero trust. Mentre gli malintenzionati interni sono, per fortuna, relativamente poco comuni, i dipendenti cadono spesso preda del phishing e di altre tecniche di ingegneria sociale. Questo è il motivo per cui il controllo dell’accesso basato sui ruoli (RBAC), l’accesso con il minor numero di privilegi e l’autenticazione a più fattori (MFA) sono essenziali per la sicurezza zero trust.

Sfida #3: Gestione continua

I controlli di accesso degli utenti non si mantengono da soli, e possono richiedere molta cura e attenzione quando i dipendenti e i fornitori vanno e vengono, e quando i dipendenti cambiano posizione lavorativa o assumono nuovi compiti. Questa è un’altra area in cui un EPM robusto come Keeper è utile. Consente agli amministratori IT di automatizzare molte funzioni relative al controllo degli accessi, risparmiando tempo e riducendo notevolmente la possibilità di un errore.

Per maggiori informazioni sull’applicazione di una struttura zero trust ai login dei dipendenti, guarda questo recente webinar di Teresa Rothaar, analista GRC di Keeper.

L’EPM zero-trust e zero-knowledge di Keeper fornisce alle organizzazioni una visibilità e un controllo totali sulle pratiche relative alle password dei dipendenti di cui hanno bisogno per difendersi con successo dagli attacchi più comuni. Gli amministratori IT possono proteggere, monitorare e controllare le password in tutta l’organizzazione, sia in remoto che on-prem, e impostare e applicare MFA, RBAC e l’accesso con il minimo dei privilegi.

Fonte: Keeper Security

Con quale frequenza si devono cambiare le password?

Con quale frequenza dovreste cambiare le vostre password? Sappiamo tutti che dovremmo cambiare le nostre password, ma quanto spesso? Alcune persone non cambiano mai le loro password e, peggio ancora, riciclano le stesse (o simili) per quasi tutti i loro account online. Si tratta di una pratica pericolosa che può portare a violazioni della sicurezza, furto di identità e altro ancora.

Le password sono, purtroppo, spesso trascurate dalle persone. Abbiamo già abbastanza cose di cui preoccuparci ogni giorno senza aggiungere la sicurezza delle password, giusto? Il problema è che le violazioni della sicurezza e la criminalità informatica sono in aumento. Ogni anno, migliaia di persone sono vittime di crimini informatici, furti di identità e frodi, che costano miliardi in danni.

La protezione delle password e delle informazioni personali inizia con la protezione delle password. Le vostre password sono la vostra prima linea di difesa contro le intrusioni, e ci sono alcune regole da seguire. Diamo un’occhiata più da vicino ad alcune importanti linee guida sulle password, e a Keeper, il Password Manager che può aiutarvi a riprendere il controllo delle vostre password su internet.

Nel passato

Come per molte delle linee guida relative alla sicurezza sul web, le regole di gestione delle password sono cambiate nel corso degli anni. Man mano che le password diventano più complesse, anche i metodi per violarle migliorano. Con l’aumento della criminalità informatica, la sicurezza diventa più importante che mai. Le persone e le imprese spesso dimenticano che la prima linea di difesa contro i crimini informatici sono i loro utenti.

Si può avere il miglior software al mondo, ma se non si monitorano attivamente le password, non le si cambiano regolarmente e non si utilizzano buone abitudini in materia di password, si mette a rischio se stessi o la propria organizzazione.

La maggior parte dei professionisti del settore tecnico consiglia di cambiare la password ogni trenta, sessanta o novanta giorni; a seconda della destinazione d’uso della password, della frequenza di accesso all’account e di quanto sia forte la password all’inizio.

Secondo gli esperti di sicurezza informatica, non è necessario cambiare frequentemente la password se si utilizzano password uniche e forti. Una buona password è una combinazione di lettere, simboli e numeri, e con i gestori di password non è necessario trovarne una da soli. Un gestore di password come Keeper memorizza tutte le vostre password in un luogo sicuro e aiuta a scansionare il dark web alla ricerca di potenziali minacce.

Senza un gestore di password, finirete per usare più spesso password riciclate o potreste anche dimenticare alcune password. Infatti, meno si accede a un sito web, più si è vulnerabili a un attacco da parte di cyber criminali. Un gestore di password è la protezione di cui avete bisogno per mantenere le informazioni private al sicuro dai criminali informatici.

Quando si deve cambiare la password?

Quando si dovrebbe cambiare la password? A quali eventi dovreste prestare attenzione? Diamo un’occhiata ad alcune situazioni tipiche in cui sarà necessario cambiare la password.

Dopo una violazione della sicurezza: Quando un’azienda dichiara di aver subito una violazione dei dati, vorrà cambiare la password il prima possibile per proteggere le sue informazioni. Se le vostre informazioni sono state compromesse, in genere l’azienda vi avviserà.

Se si sospetta un accesso non autorizzato: Non aspettate fino a quando non ci saranno prove evidenti di un accesso non autorizzato al vostro account. A quel punto, di solito è troppo tardi. Se sospettate che qualcuno stia tentando o abbia tentato di accedere a uno o più dei vostri account, cambiate le vostre password al più presto. È sempre meglio prendere misure preventive piuttosto che aspettare che il danno sia fatto.

Se scoprite malware o altri software di phishing: Un virus può mettere a rischio il vostro computer e lasciare scoperte le vostre informazioni personali. Se scoprite tale software sul vostro computer dopo una scansione, cambiate immediatamente le vostre password; preferibilmente da un altro dispositivo fino a quando non siete sicuri che il virus sia stato rimosso.

Accesso condiviso: Molte persone condividono l’accesso ad account come Netflix e altri servizi mediatici. Alcuni condividono anche l’accesso a un conto bancario comune e accedono alle informazioni via web o app mobile. Se condividete l’accesso con qualcuno con cui non siete più in contatto, cambiate la password il prima possibile. È meglio non fidarsi di nessuno al di fuori della propria cerchia di persone fidate per quanto riguarda le password. Gli ex coniugi o altre persone importanti, amici e colleghi precedenti non dovrebbero avere accesso a nessuno dei vostri account.

Accesso ai luoghi pubblici: Utilizzare una rete non protetta per accedere ai vostri account è un buon modo per farsi rubare la password. Se utilizzate una rete pubblica, cambiate la vostra password in seguito. Seguite queste linee guida sull’identità digitale per mantenere la vostra identità al sicuro sia che vi troviate a casa che in un luogo pubblico.

Se non avete effettuato il login: Dovreste sempre cambiare una vecchia password che non viene usata da oltre un anno, ma alcuni esperti raccomandano di cambiare le vecchie password dopo pochi mesi. Più frequentemente cambiate le password poco usate, più sarete al sicuro; soprattutto se non usate l’autenticazione a più fattori.

Quanto spesso si deve richiedere agli utenti di cambiare le loro password?

Non commettete l’errore di pensare che queste linee guida si applichino solo alle persone. Anche le aziende devono tenere sotto stretta sorveglianza le loro pratiche relative alle password e incoraggiare gli utenti a cambiarle frequentemente. Con quale frequenza si dovrebbe richiedere agli utenti di cambiare le loro password? Almeno una volta ogni 60-90 giorni, se non di più. Assicuratevi di utilizzare strumenti come l’autenticazione a più fattori e un gestore di password per aumentare la sicurezza delle password.

Best Practices

La creazione di una password sicura è il primo passo per avere il controllo della sicurezza della password. Si inizia con alcune semplici regole.

Usare sempre un gestore di password

Molti servizi sono gratuiti e i servizi premium offrono una sicurezza extra sotto forma di monitoraggio del dark web, generatori di password e altro ancora. Non usare un gestore di password lascia le password esposte, e non avrete un buon metodo per organizzarle. Usare un documento Word per organizzare le password non è una buona idea. Con un gestore di password imparerete a cambiare le password in modo rapido ed efficiente e non dovrete preoccuparvi di rintracciare le password perse o gli account.

Controllare sempre le password

Utilizzate la stessa password per più account? Utilizzate una password simile? La regola d’oro delle password è che non si usa mai la stessa password due volte. Non utilizzate dati personali nelle vostre password, come nomi, animali domestici, compleanni, anniversari, indirizzi, nomi di bambini, ecc. Le password devono sempre essere una combinazione casuale di lettere, numeri e simboli o frasi non correlate.

Cambiare subito le password deboli, compromesse o riciclate

Sono le più vulnerabili e quelle che più probabilmente causeranno problemi.

Date priorità ai vostri account sensibili

I conti bancari dovrebbero assolutamente avere password super-forti per garantire che non mettiate a rischio le informazioni finanziarie.

L’autenticazione a più fattori è il vostro migliore amico

Ciò significa che chiunque cerchi di accedervi dovrà affrontare un processo di autenticazione più esteso rispetto alla semplice immissione di una password. Questa è la cosa migliore per gli account sensibili, ma usatela con tutti gli account che potete.

L’aggiornamento e la revisione delle password richiedono un certo tempo

Dovreste farlo almeno un paio di volte all’anno, quindi dedicate un po’ di tempo a voi stessi per assicurarvi che sia fatto correttamente.

Se seguite queste semplici linee guida, le vostre password non solo saranno più sicure all’inizio, ma il vostro processo di revisione/aggiornamento sarà più semplice ed efficiente. Ricordate che le password riciclate sono incredibilmente pericolose.

Conclusione

La gestione delle password è una responsabilità che ricade sia su di noi come individui che come aziende. Senza le corrette abitudini in materia di password, è molto più facile cadere vittima di crimini informatici e furti di identità; ognuno dei quali costa alle nazioni miliardi di danni ogni anno. Prendete il controllo delle vostre password con un servizio di gestione delle password come Keeper per proteggere meglio le vostre informazioni e la vostra identità.

Fonte: Keeper Security