Abitudini poco sicure con le password aziendali espongono le organizzazioni agli attacchi informatici

Keeper ha intervistato oltre 1.000 dipendenti impiegati in vari settori sul loro comportamento con le password; i risultati sono allarmanti.

Qualche dato saliente

57%

Salvare le password su foglietti adesivi

49%

Salvare le password in documenti non protetti e di testo semplice

62%

Condividere le password tramite messaggi di testo e e-mail

Leggete il testo completo del resoconto qui sotto per maggiori dettagli sui problemi di sicurezza legati alle password e su come proteggere la vostra organizzazione dal vettore di attacco più diffuso.

Adottare cattive abitudini con le password sul posto di lavoro rappresentava una minaccia alla sicurezza informatica delle organizzazioni ben prima della pandemia da COVID-19. Quando il virus ha costretto le organizzazioni di tutto il mondo a far lavorare da casa e proteggere i loro dipendenti, i team hanno iniziato a collegarsi in remoto alle risorse aziendali, in ambienti che gli stessi dipendenti non controllavano, spesso usando i propri dispositivi.

Gli intervistati dal Ponemon Institute per il resoconto Cybersecurity in the Remote Work Era: A Global Risk, commissionato da Keeper Security nel 2020, hanno espresso profonda preoccupazione per la sicurezza delle password nella loro organizzazione:

  • 60% degli intervistati ha affermato che la loro organizzazione ha sperimentato un attacco informatico negli ultimi 12 mesi.
  • Oltre il 50% di tali attacchi ha riguardato il furto di credenziali.
  • Il furto di risorse IT ha causato danni per almeno 5 milioni di dollari al 25% delle aziende.

La pandemia ha spinto le organizzazioni a implementare rapidamente una serie di nuove tecnologie per consentire ai dipendenti di connettersi da casa, collaborare e lavorare. Da Zoom a Google Workspace passando per Slack, i dipendenti hanno dovuto registrarsi a uno o più account online e pertanto tenere traccia di tante password.

Keeper si è chiesta quanto sia cambiata la sicurezza delle password da quando le aziende hanno dovuto convertirsi al lavoro in remoto. I dipendenti che lavoravano da casa hanno seguito delle semplici buone pratiche per proteggere le loro password oppure sono cadute preda della "fatica di memorizzare le password" e hanno adottato cattive abitudini che hanno messo notevolmente a rischio la sicurezza informatica? Ecco perché Keeper, in collaborazione con Pollfish, ha condotto il sondaggio Pratiche errate con le password sul luogo di lavoro.

Sebbene Ponemon avesse intervistato dei dirigenti aziendali, noi abbiamo deciso di rivolgerci direttamente ai dipendenti e intervistato 1.000 di lavoratori a tempo pieno negli Stati Uniti sulle loro abitudini con le password. Il sondaggio si è concluso nel febbraio 2021 e ha riguardato solo singole persone che usavano le password per accedere ad account online legati al lavoro.

Quanto segue sono le scoperte più importanti affiorate durante il sondaggio. Le informazioni complete possono essere anche visualizzate qui.

Scoperta n.1: i dipendenti USA tengono traccia e conservano le credenziali di accesso in modo poco sicuro

Durante il nostro sondaggio abbiamo rilevato che i dipendenti USA non seguono le migliori pratiche quando conservano e tengono traccia delle password del lavoro, mettendo così in grave pericolo la sicurezza informatica dei loro datori di lavoro.

  • Oltre metà degli intervistati (57%) ha ammesso di scrivere sui "foglietti adesivi" le password di lavoro, mentre due terzi di essi (67%) ha ammesso di aver perso tali foglietti. Oltre a lasciare in vista di chiunque entri in casa loro informazioni aziendali riservate, ciò pregiudica l'efficacia organizzativa. Foglietti adesivi persi vuol dire password perse, il che comporta richieste all'helpdesk per la reimpostazione di tali password.
  • Il 62% degli intervistati conserva le credenziali di accesso in un taccuino o un diario e la stragrande maggioranza (82%) dice di conservare tali taccuini vicino o nelle vicinanze dei loro dispositivi di lavoro, dove chiunque abita nella loro casa o vi fa visita può accedervi.

Usare carta e penna per monitorare le password è diventato ancora più problematico nel mondo del telelavoro. Gran parte dei lavoratori (66%) dice di essere propenso a scrivere le password di lavoro quando lavora da casa rispetto a quando si trova in ufficio.

Anche quando si usano metodi digitali per tenere traccia e conservare le proprie password, i dipendenti delle aziende statunitensi adottano pratiche di scarsa sicurezza delle password.

  • Quasi la metà degli intervistati (49%) salva le password di lavoro in un documento nel cloud.
  • Poco più della metà (51%) dice di conservare al momento tali password in un documento salvato sul proprio computer.
  • Il 55% salva le password di lavoro sul telefono.

Conservare le password in file non crittografati è estremamente rischioso. Tutto ciò che i criminali informatici devono fare è violare lo spazio su cloud, su computer o sul dispositivo mobile per poter accedere a tutte le password del dipendente.

Scoperta 2: i dipendenti USA creano password deboli e facilmente indovinabili

Una password casuale e complessa consiste in una stringa casuale di lettere maiuscole e minuscole, numeri e caratteri speciali. Tuttavia, molti intervistati hanno ammesso di usare password che contengono dati personali e che i criminali informatici possono trovare facilmente sui canali social.

  • Oltre un terzo (37%) degli intervistati ha usato il nome del proprio datore di lavoro in una password di lavoro.
  • Oltre un terzo (34%) ha usato il nome o la data di nascita del partner.
  • Circa un terzo (31%) ha usato il nome o la data di nascita del proprio figlio.

Il riutilizzo delle password tra account personali e di lavoro è diventato un enorme pericolo nella sicurezza digitale delle aziende, dove il 44% degli intervistati ha ammesso di riutilizzare le password dell'account personale e quello di lavoro, mentre il 53% ha ammesso di avere degli account personali protetti da password sul proprio dispositivo di lavoro.

Scoperta n. 3: i dipendenti USA condividono le password di lavoro con terzi non autorizzati

Molti dipendenti USA non esercitano prudenza riguardo alle persone con cui condividono le password di lavoro, mettendo in pericolo le organizzazioni a livello di violazioni che potrebbero subire nel caso tali password capitassero nelle mani di persone superficiali o con cattive intenzioni.

  • Nell'ultimo anno, il 14% degli intervistati ha condiviso le proprie password di lavoro con il proprio partner o coniuge.
  • L'11% degli intervistati ha condiviso le password di lavoro con un famigliare.

Persino in assenza di una violazione dei dati, un datore di lavoro potrebbe essere trovato non conforme e idoneo a grosse penalità se si scopre che dei terzi non autorizzati hanno visualizzato dati protetti dalle norme sulla conformità.

Scoperta n.4: i datori di lavoro USA non s'impegnano per garantire che le password vengano condivise in modo sicuro e/o solo con parti autorizzate

Dal nostro sondaggio è risultato che condividere le password sul posto di lavoro è pratica diffusa.

  • Quasi la metà degli intervistati (46%) ha segnalato che la propria azienda condivide le password di account utilizzati da più persone.
  • Oltre un terzo (34%) ha condiviso le password di lavoro con i colleghi dello stesso team.
  • Quasi un terzo (32%) ha condiviso le password di lavoro con i propri responsabili o dirigenti.
  • Il 19% ha condiviso le proprie password con il team manageriale.

La cosa migliore da fare è assegnare a ogni utente una password univoca per ogni account di lavoro o richiesta, cosa che può essere realizzata ricorrendo all'uso di una piattaforma di gestione delle password aziendali (EPM). La condivisione delle password nell'ambiente di lavoro diventa una pratica sicura se tali password vengono condivise in sicurezza e solo con parti autorizzate.

I risultati del nostro sondaggio indicano che molti datori di lavoro USA non mettono in pratica strategie di riduzione dei rischi per contribuire a una condivisione sicura delle password.

  • La maggior parte degli intervistati (62%) segnala di aver condiviso una password di lavoro tramite messaggio di testo o e-mail, facilmente intercettabili dai criminali informatici di passaggio.
  • Quasi un terzo degli intervistati (32%) ha ammesso di accedere a un account online appartenente a un datore di lavoro precedente, a indicare che molti datori di lavoro non disabilitano gli account degli ex dipendenti.

Conclusione

L'adozione e l'implementazione di una piattaforma di gestione delle password aziendali come Keeper Enterprise rappresenterebbe il rimedio per le cattive abitudini con le password scoperte durante questo sondaggio. La crittografia delle password zero-knowledge e la framework zero-trust di Keeper fornisce gestione avanzata delle password, condivisione protetta e altre funzionalità di sicurezza.

Gli amministratori e i responsabili IT ottengono visibilità e controllo completi nelle abitudini con le password dei dipendenti, tra cui:

  • Modello di sicurezza zero-knowledge e sistema di framework proprietari ed esclusivi; tutti i dati in transito e a riposo vengono crittografati e non possono essere visualizzati dai dipendenti di Keeper Security né da alcun altra parte esterna.
  • Distribuzione rapida su tutti i dispositivi, senza bisogno di anticipare le attrezzature o sostenere costi di installazione.
  • Concessione dei diritti di accesso personalizzata, assistenza 24 ore su 24 e formazione con uno specialista dell'assistenza dedicato.
  • Supporto per RBAC, 2FA, verifiche di conformità, segnalazione eventi e più standard di conformità, tra cui HIPAA, DPA, FINRA e RGPD.
  • Provisioning di cartelle condivise, sottocartelle e password sicure per i team.
  • Autenticazione con Single Sign-On (SAML 2.0)
  • Abilitazione dell'accesso offline alla cassetta di sicurezza quando SSO non è disponibile.
  • Provisioning dinamico delle cassette di sicurezza tramite SCIM.
  • Configura per disponibilità elevata (HA).
  • Autenticazione a due fattori/multifattoriale avanzata.
  • Sincronizzazione con Active Directory e LDP.
  • Provisioning con SCIM e Microsoft Entra ID (Azure AD).
  • API per sviluppatori per la rotazione delle password e l'integrazione back-end.

Ulteriori risorse utili

Scansione gratuita del dark Web

Scansione gratuita del dark Web

Il dark Web contiene oltre 15 miliardi di credenziali di accesso rubate. Scoprite se le password della vostra organizzazione sono state rubate in una violazione dei dati scansionando gratuitamente il vostro indirizzo e-mail.

Ottenete risultati all'istante.

Keeper Business - Proteggete i vostri dipendenti e le loro famiglie

Keeper Business - Proteggete i vostri dipendenti e le loro famiglie

Keeper protegge la vostra azienda dalle cattive abitudini con le password dei dipendenti grazie alla nostra piattaforma di enterprise password management (EPM).

Imponete requisiti minimi di complessità delle password e vedrete chi usa password deboli o già utilizzate grazie alla console d'amministrazione.

Inoltre, ogni utente aziendale riceve un account famiglia gratuito per proteggere anche al suo interno le credenziali di accesso personali.

7 cose che i vostri dipendenti dovrebbero fare per conservare al sicuro i dati aziendali

7 cose che i vostri dipendenti dovrebbero fare per conservare al sicuro i dati aziendali

Sebbene le password siano una delle barriere più importanti per proteggere le aziende, noi sappiamo che i dipendenti possono fare ben altro per aiutare.

Date un'occhiata a questa infografica con 7 elementi che dovreste includere nel vostro programma di formazione per migliorare la sicurezza informatica.

Italiano (IT) Chiamaci