Ottobre è il mese europeo della sicurezza informatica, un’iniziativa che ha l’obiettivo di creare consapevolezza sulla cybersecurity e sull’importanza di proteggere le attività online. Per anni, questa ricorrenza istituita nel 2012, ha sensibilizzato persone e aziende alle buone pratiche che stanno alla base della cybersicurezza, tra cui impostare password efficaci, aggiornare regolarmente i software e imparare a riconoscere gli attacchi di phishing. Ciononostante, milioni di aziende e i loro dipendenti faticano ancora a metterle in pratica. Ecco, secondo Barracuda, alcune lezioni che si possono trarre dai consigli tecnici che agli utenti piace ignorare.
1. Leggere le istruzioni
Una ricerca ha evidenziato che meno di una persona su quattro ha mai letto, al primo utilizzo, il manuale di istruzioni di un dispositivo o un’applicazione. Se ne deduce che le persone sono sempre più impazienti e preferiscono scoprire le cose da sole, imparando dai propri errori. La maggior parte degli utenti, tuttavia, si arrende dopo pochi minuti, sebbene uno studio confermi che il 95% dei prodotti resi funziona correttamente.
2. Cancellare un’app indesiderata dal telefono può non risolvere tutti i problemi
La semplice disinstallazione di un’app non cancella necessariamente i dati personali contenuti nell’app, non elimina il collegamento con altri account a cui l’utente è connesso (come quelli social) e non rimuove nemmeno il fastidioso adware installato insieme all’applicazione. Per farlo, è necessario accedere all’app store, cercare l’applicazione, cancellare i dati e la cache e poi disinstallare l’app.
3. Un dispositivo semplice e intuitivo verrà usato più di uno complesso e ricco di funzionalità
Tutte le nuove funzionalità degli ultimi modelli dei dispositivi sono tremendamente attraenti, ma spesso si finisce per utilizzarle appena o non sfruttarle quanto si potrebbe. La ragione risiede in un principio chiamato “sovraccarico da eccesso di opzioni disponibili”, esemplificato da un famoso studio della Columbia University: di fronte all’offerta di 24 tipi di marmellata, solo il 3% dei clienti ne ha comprato un vasetto; al contrario, di fronte a sei varietà, il 30% si è deciso a comprare. Avere troppe possibilità di scelta, infatti, può portare non scegliere completamente.
4. Ripetere un’azione all’infinito non risolve il problema
È capitato a tutti di cliccare ripetutamente sul pulsante “aggiorna” o “riavvia” o “ricarica”, nella speranza che il problema magicamente si risolvesse, ma senza successo. Tuttavia, più la frustrazione aumenta e più si tende a mettere in atto questo comportamento, invece di spendere tempo ed energie per trovare una vera soluzione.
5. Impostare una password efficace
Per gli utenti aziendali le password sono le chiavi per accedere ai propri contenuti e dati online. Tuttavia, spesso si preferiscono password semplici perché più facili da ricordare, mentre quelle complesse, per quanto sicure, non piacciono perché il rischio di dimenticarle – e dunque di rimanere “chiusi fuori” dagli account o di essere costretti a reimpostarle – è maggiore. In un recente report, il 91% degli intervistati ha dichiarato di comprendere i rischi legati al riutilizzo delle password, ma il 59% ha ammesso di farlo ugualmente. E sul posto di lavoro spesso la situazione non è più rosea: di fronte all’obbligo di resettare una password, quasi la metà (49%) dei dipendenti si limita ad aggiungere una lettera o un simbolo alla parola precedente.
L’impatto di un atteggiamento superficiale verso le password
La richiesta di creare e impostare password uniche, efficaci e complesse per ciascun account spesso non si concretizza e, secondo una recente indagine, circa i due terzi delle persone (65%) non si fidano dei password manager. Al contempo, le password compromesse sono responsabili dell’81% delle violazioni legate all’hackeraggio, stando al Data Breach Investigations Report di Verizon del 2023. Inoltre, l’autenticazione multifattoriale, pensata per rafforzare i controlli all’accesso, ora viene presa di mira, con discreto successo, da criminali che sfruttano tecniche come la cosiddetta “MFA fatigue”. Forse, dunque, è arrivato il momento di valutare seriamente un’alternativa.
“Il futuro dell’autenticazione è senza password. L’autenticazione passwordless consiste nel verificare l’identità di un utente attraverso metodi alternativi come la biometria (impronte digitali o riconoscimento facciale), i token hardware e le password usa e getta (OTP) inviate tramite e-mail o SMS”, spiega Emre Tezisci, Product Marketing Manager di Barracuda. “La biometria è già utilizzata in molte applicazioni e dispositivi consumer, tra cui smartphone e app bancarie e di pagamento. Nei contesti aziendali il percorso verso il passwordless potrebbe richiedere più tempo: le soluzioni si devono ancora affermare e non tutte le organizzazioni sono già pronte ad adottare questo approccio. È importante continuare a offrire tutte le opzioni, login tradizionali compresi, e allo stesso tempo aiutare le aziende a migrare verso un futuro fatto di accesso continuo e condizionale, con permessi centralizzati, concessioni di accesso self-service e, in ultima analisi, un’esperienza passwordless sicura e user-friendly. A quel punto, riutilizzare la stessa parola chiave per autenticarsi in decine di account non rappresenterà più un rischio rilevante”.