Giornata mondiale della password 2025: Mantenere le credenziali al sicuro

Ogni anno, il primo giovedì di maggio si celebra la Giornata Mondiale della Password, un evento globale dedicato alla sensibilizzazione sull'importanza di proteggere le password e di seguire le migliori pratiche di sicurezza online. Con le esche del phishing che diventano sempre più attuali e sofisticate, la Giornata Mondiale della Password serve a ricordare a privati e organizzazioni di esaminare la sicurezza delle proprie credenziali di accesso. 

Sebbene il suo scopo originario fosse semplice - incoraggiare una migliore igiene delle password, come l'utilizzo di password complesse e uniche e l'evitare il riutilizzo - ha assunto un'importanza maggiore con l'aumento della raccolta di credenziali. 

Il furto di credenziali rimane l'arma preferita dai criminali informatici, in quanto le password rubate costituiscono oltre l'80% delle violazioni di applicazioni web oggi. Gli aggressori prendono di mira le credenziali degli utenti attraverso il phishing, l'ingegneria sociale e altre tecniche, utilizzandole per accedere a sistemi sensibili o venderle sul dark web. Comprendere queste minacce è fondamentale per salvaguardare i dati della sua azienda e minimizzare i rischi. 

Raccolta di credenziali: Email di phishing, siti web dannosi o violazioni dei dati. 

I criminali informatici si basano su password deboli o mal gestite per infiltrarsi nei sistemi. Circa il 63% di tutto il phishing è una raccolta di credenziali; i dati di threat intelligence di Mimecast confermano questo punto. Con miliardi di credenziali compromesse che circolano online (alcune disponibili a soli 10 dollari), le aziende corrono rischi enormi se le password non sono adeguatamente protette. Inoltre, gli aggressori stanno sfruttando tattiche sofisticate, come l'utilizzo di infrastrutture di servizi affidabili, per mascherare i tentativi di phishing e far apparire autentici i siti web dannosi.

Figura 1: Secondo i dati di threat intelligence di Mimecast degli ultimi 3 mesi, una media del 64% di tutti i tentativi di phishing si concentra sull'ottenimento delle credenziali.

Perché è fondamentale proteggere le password 

Le password restano la prima linea di difesa per proteggere i sistemi aziendali sensibili, i dati finanziari e le informazioni personali. Tuttavia, le password deboli, riutilizzate o condivise aumentano significativamente il rischio di cyberattacchi, tra cui schemi di phishing, riempimento di credenziali e tentativi di forza bruta. 

Il rafforzamento delle password riduce la probabilità di incidenti costosi come gli attacchi ransomware o le violazioni dei dati. Inoltre, le aziende devono implementare misure di salvaguardia complete per evitare che le credenziali vengano archiviate o condivise in luoghi non sicuri. Alcuni suggerimenti includono:

L'autenticazione a più fattori (MFA) è necessaria 

Anche le password più forti possono essere compromesse. È qui che interviene l'autenticazione a più fattori (MFA). L'MFA richiede agli utenti di verificare la propria identità attraverso diversi metodi, come un codice una tantum inviato allo smartphone o dati biometrici come la scansione dell'impronta digitale. 

Perché l'AMF è essenziale: 

• Blocca gli aggressori che hanno credenziali valide ma non hanno accesso alla verifica secondaria. 
• Offre protezione contro l'88% degli attacchi ransomware che si verificano negli account senza MFA, soprattutto quelli privilegiati. 
• Riduce la dipendenza dalle password per la sicurezza, allineandosi alle iniziative "password less" che migliorano sia la sicurezza che l'usabilità. 

Le aziende devono dare priorità all'implementazione di soluzioni MFA di nuova generazione e resistenti al phishing - solo il 40% delle aziende non dispone di MFA o dispone di un MFA debole, lasciando molti dispositivi e account non protetti.

Combinando password forti con l'MFA, le aziende possono mitigare con successo gli accessi non autorizzati e migliorare la loro posizione di sicurezza.

Proteggere le credenziali dai siti di phishing 

I criminali informatici si affidano spesso ad attacchi di phishing per raccogliere le credenziali. Questi schemi spesso utilizzano siti web falsi che imitano marchi famosi, inducendo gli utenti a inserire le loro password. I dati di login compromessi da questi attacchi vengono poi utilizzati per infiltrarsi nei sistemi o venduti ad altri attori malintenzionati. 

È allarmante che i criminali stiano adattando i loro metodi per eludere il rilevamento. Invece di domini sospetti e facilmente segnalabili, gli aggressori ora ospitano siti dannosi sotto infrastrutture fornite da aziende legittime, rendendo le campagne di phishing più convincenti e più difficili da scoprire. 

Migliorare la protezione con la formazione e la tecnologia aziendale 

La formazione dei dipendenti rimane una delle migliori difese contro la raccolta di credenziali. I programmi di formazione sulla gestione delle password, sull'individuazione dei tentativi di phishing e sull'utilizzo dei gestori di password dovrebbero essere condotti regolarmente per ridurre al minimo l'errore umano. Inoltre, l'utilizzo di soluzioni avanzate può fornire un ulteriore livello di protezione, identificando e bloccando le e-mail dannose prima che raggiungano i dipendenti. 

La linea di fondo 

In questa Giornata Mondiale della Password, si impegni a rafforzare le difese della sua organizzazione dando priorità alla sicurezza delle password, implementando l'MFA ed educando gli utenti ad evitare le insidie più comuni. Il furto di credenziali rimane la minaccia informatica numero 1 per le aziende, ma con misure proattive può ridurre il rischio. 

Per maggiori informazioni sulla sicurezza delle credenziali e dei sistemi, legga il rapporto Mimecast Threat Intelligence. Protegga le sue credenziali; protegga la sua attività.