Mi capita spesso di vedere utenti che utilizzano password troppo facili per gli accessi ai computer o alle mail dell’organizzazione a cui appartengono.
Spesso la considerazione di fondo è «Tanto è solo la mail di lavoro, non c’è nulla di importante…» Da far venire i brividi.
È un fatto che gli utenti vadano opportunamente istruiti (bastano due paginette sulla Intranet, eh!) in merito al valore dei dati che stanno trattando e alle conseguenze in caso di crack della password.
In quanti tra gli utenti sanno che una password debole sulla mail non consente solamente di leggere i messaggi, ma anche di inviarne con il loro nome con due conseguenze principali: (1) furto di identità e (2) utilizzo dell’account per inviare spam, con conseguente blacklisting del mail server dell’organizzazione?
Alcune realtà italiane e internazionali prevedono sanzioni (fino alla lettera di richiamo formale) se gli utenti utilizzano per più volte password facili da indovinare. In un’organizzazione che parte da zero su questo fronte la lettera di richiamo sarebbe fuori luogo, ma bisognerebbe iniziare a rendere consapevoli gli utenti (a partire, spesso, dalla cima della catena alimentare) di quanto siano sicure le loro password.
Il sistema più semplice ed efficace croniste nell’utilizzo dei tool di crack delle password di cui ogni tanto diamo conto anche su queste pagine. SANS ha un articolo interessante in merito, che vale la pena di essere letto. Magari negli obbiettivi IT del prossimo anno si può introdurre qualcosa di simile…
Lascia un commento