Password Manager: quali vantaggi per le aziende

Le credenziali di accesso sono dati particolarmente ambiti dagli hacker che cercano di superare i sistemi di sicurezza senza troppi problemi – per trafugare materiali vari o causare semplicemente danni.

In ambito aziendale la questione password è stata “quasi” risolta ricorrendo al single sign-on (SSO), soluzione che consente agli utenti di utilizzare una singola password per l’accesso a più servizi ed agli admin di mettere in campo ulteriori accorgimenti come l’autenticazione a più fattori. L’SSO non può tuttavia essere applicato a qualsiasi servizio (es: vendor minori) ed il dipendente dovrà cimentarsi prima o poi nella scelta di una combinazione alfanumerica (possibilmente!) adeguata.

Il rischio che si corre in queste situazioni è quello di abbandonare le rigide policy aziendali in favore di quelle “consumer”, ovvero legate alla vita “non lavorativa” di tutti i giorni. I cosiddetti gestori di password (password manager o pm da ora in poi) possono venire in soccorso dell’utente memorizzando in un database cloud crittato tutte le combinazioni utilizzate dall’user ma per molti potrebbero rivelarsi complessi finendo per l’essere accantonati in favore delle solite tre o quattro password preferite.

Vantaggi dei gestori di password

E’ qui che l’azienda dovrebbe scendere in campo e richiamare all’ordine i dipendenti, afferma Larry Seltzer di Enterprise.nxt: “le organizzazioni dovrebbe almeno chiedere ai propri dipendenti di verificare il numero di password non gestite presenti in rete. In base ai risultati potrebbe rivelarsi consigliabile l’adozione di un sistema di gestione delle password”. E prosegue elencando i vantaggi offerti da questi software:

  • possibilità di impiegare password lunghe e complesse. In generale è molto difficile ricordare combinazioni complesse di numeri, lettere (magari maiuscole e minuscole) e caratteri speciali. Il software è in grado di crearle ed inserirle automaticamente nei form e nelle maschere di login.
  • Contenimento dei danni in caso di furto delle password. Se si utilizza la stessa password su numerosi portali e servizi si rischia di compromettere la propria identità digitale. Non appena un hacker enterà in possesso delle credenziali proverà infatti a riutilizzarle su altri siti/servizi. L’impiego dei pm minimizza i danni perchè ci si affida a combinazioni sempre diverse.
  • Modifica periodica delle password. Come avvenuto in altre circostanze, un’azienda può accorgersi di un furto dati in secondo momento (da pochi giorni fino ad alcuni anni). Tra le funzionalità dei pm anche la modifica periodica di tutte le password presenti nel database, un’altra caratteristica pensata per minimizzare i danni.
  • Le credenziali sono pronte all’uso in ogni dispositivo. Smartphone e tablet sono entrati a far parte anche dell’attività lavorativa. Dei problemi annessi al fenomeno del byod (bring your own device) si è parlato in un precedente post: disporre di un pm sul proprio device permette di usufruire della funzione di autocompletamento (salvo restrizioni da parte di alcuni siti), il che significa risparmiare tempo prezioso e non dover riutilizzare le solite password su più dispositivi.
  • Possibilità di salvare altri dati sensibili. I database sicuri dei pm possono ospitare all’occorrenza altri dati sensibili come quelli relativi alle carte di credito.In ambito enterprise potrebbero esserci molteplici dati da salvaguardare e disporre di un archivio protetto è sempre comodo. Le varianti enterprise dei pm consentono agli amministratori di disattivare tale funzionalità.
  • Monitoraggio costante. Le notifiche ed i log dei pm permettono di portare all’attenzione del personale incaricato dei controlli periodici di sicurezza eventi precedentemente passati inosservati. Una panoramica delle credenziali più utilizzate può anche indicare all’utente eventuali account da cancellare – perchè inutilizzati – con eventuali risparmi per le casse dell’azienda.