Buone pratiche di cybersecurity e centralità degli aspetti comportamentali: il futuro dell’‘identità’ è nella biometria
Il 7 maggio il World Password Day ha portato a una necessaria riflessione critica sulle nostre abitudini in tema di credenziali.
In linea di principio tutti sanno come le password siano gatekeeper fondamentali per le nostre identità digitali, permettendoci di accedere ad acquisti online, incontri, attività bancarie, social media, lavoro e comunicazioni. Nel suo libro “Perfect Password” del 2005, il cyber esperto Mark Burnett ha per la prima volta incoraggiato le persone ad avere una “giornata delle password”, in cui aggiornare le password importanti. Ispirata da questa idea, nel maggio 2013 Intel Security ha preso l’iniziativa di dichiarare ogni primo giovedì di maggio World Password Day .
La privacy di ognuno, in sostanza, si basa sulla sicurezza dei propri dati.
In un mondo cibernetico, le password sicure sono essenziali, quindi SecureAuth ha condotto una ricerca per indagare sul nostro approccio all’uso sicuro e responsabile di applicazioni, portali, sistemi, strumenti di business e account online nella nostra vita quotidiana. L’obiettivo è “ottenere una migliore comprensione dei meccanismi psicologici della average person – dalla Generazione Z ai Baby Boomer e oltre – quando si tratta di sicurezza e privacy personale, e le abitudini che stanno contribuendo alla sfida di proteggere e metter al sicuro la nostra privacy online”.
Con quasi il 50% degli intervistati in 2.000 consumatori della popolazione generale degli Stati Uniti, il “Rapporto sullo stato dell’identità-2020” fornisce un set di dati oggettivi rispetto alle abitudini di sicurezza e privacy che i consumatori applicano sia nella loro vita personale che professionale.
Eccone i principali risultati:
- nonostante tutti gli esperti di informatica lo ricordino sempre, le “cattive abitudini di password” si confermano come “un grosso problema per la nostra vita personale e lavorativa”. Molte persone utilizzano la stessa password per più di un account e la maggior parte lo utilizza su 3-7 account (62%), mentre il 10% afferma di utilizzare la stessa password su più di 10 account. Inoltre, “il 44% delle persone ha ammesso di utilizzare le proprie password personali sul lavoro”;
- il vero problema è che “le persone sono prevedibili a causa di password davvero uniche che sono un mal di testa da ricordare”;
- nei luoghi di lavoro, il management spesso si comporta “peggio del personale nell’igiene delle password”, poiché solo il 38% di coloro che occupano posizioni dirigenziali afferma di utilizzare password di lavoro uniche. E “il 34% delle persone occupate con un ruolo dirigenziale ammette di aver usato una delle password più comuni”;
- la condivisione non è valutata come un problema quando si tratta di password. Gli account dei servizi di streaming video hanno le password o le credenziali di accesso più condivise, seguite dagli account di gioco online e dalle password dei telefoni cellulari. Il tipo di account con le password con le credenziali meno condivise “si riferisce alle e-mail di lavoro”, anche se il 34% rivela di aver “condiviso la propria password per l’e-mail di lavoro”;
- la maggior parte dei consumatori condivide le password in modo da facilitare, di fatto, l’hacking. Il 20% dei consumatori ammette di condividere una password utilizzando un messaggio di testo, il 19% di una telefonata, il 15% di una nota scritta e il 10% via e-mail.
Ecco perché alla fine del Rapporto troviamo una dichiarazione in cui Bil Harmer (CISO & Chief Evangelist, SecureAuth) afferma che “è importante ricordare, anche se le password sono crittografate, gli hacker possono usare la forza bruta contro di loro e scoprire quali siano. Alla fine, la vittima non avrà avvertimenti avanzati, motivo per cui le password devono scomparire e deve essere implementata una forma elevata di autenticazione continua”.
Quindi, in prospettiva, “il futuro dell’identità sta nella biometria” – riconoscimento vocale, lettore di impronte digitali, riconoscimento facciale o scansione della retina – per ottenere l’accesso a risorse sicure. Ma “bisogna fare più istruzione per aumentare l’appetito e la volontà tra i consumatori medi”.
Al momento, solo meno di un consumatore su tre conferma di sentirsi “a proprio agio nel condividere alcuni dei loro dati biometrici con una società da cui acquistano beni e servizi o con il governo”.
Viceversa, “nonostante gli alti livelli di disagio” quando richiesto specificamente (“il 57% delle persone afferma di sentirsi a proprio agio, mentre il 43% ritiene che i propri dati potrebbero essere violati”), “i dati mostrano che le persone stanno già utilizzando la biometria in più contesti” senza problemi particolari.
Più in dettaglio, “il 51% dei consumatori stanno già utilizzando la biometria” ed è disposto “a condividere i propri dati biometrici per risparmiare tempo: I) il 13% li condividerà per risparmiare 30 secondi o meno, II) il 12% per risparmiare 5 minuti, III) il 10% per risparmiare 10-30 minuti”.
Sembra quindi sicuro che il futuro della protezione della nostra identità e del miglioramento della sicurezza risieda nella biometria. Per ora, tuttavia, sono necessarie più istruzione e consapevolezza per “facilitare i meccanismi mentali delle average person a migliorare il loro appetito e la volontà di abbracciare il potenziale della biometria”.
Nel frattempo, la ricerca ha chiaramente identificato “che le persone all’interno o all’esterno dell’ufficio non stanno rispettando le migliori pratiche relative alle password che sfortunatamente mettono a rischio i nostri dati personali e la privacy”.
Quindi, in attesa di sviluppi futuri – ma in parte già in corso – vale la pena di riassumere i suggerimenti per la password da seguire in questo periodo turbolento, come d’altronde non mancano di fare anche altre fonti (vedasi ad es. schema del National Cyber Security Centre – NCSC).
Ogni “utente medio” farebbe quindi bene a:
- cambiare una vecchia password in una password alfanumerica forte e unica che sia almeno nelle doppie cifre dei caratteri per ogni account che ha;
- modificare le password ogni pochi mesi o ogni volta che ritenga che i suoi account possano essere stati compromessi;
- attivare l’autenticazione a due fattori per gli account più importanti;
- proteggere con password il proprio router wireless;
- non archiviare le password sul computer o telefono;
- disconnettersi al termine di un programma;
- rimuovere periodicamente i file temporanei di Internet;
- se sa di avere un account che non usa mai, eliminarlo. Trattenere vecchi account può esporre a grandi hack o intrusioni online, anche perché, se quell’account è ancora collegato ad altri siti e servizi (come il proprio account di social network o l’autenticazione a due fattori), un utente malintenzionato potrebbe accedere a tali account reimpostando le password inviate al vecchio indirizzo email;
- ogni volta che installa un’app, verranno chieste le autorizzazioni per le funzioni o i dati del telefono, come contatti, foto, fotocamera o anche il dialer del telefono stesso. Fare attenzione alle app che si installano, poiché una sola “app canaglia” può creare un buco nelle protezioni della privacy;
- l’uso del blocco degli annunci pubblicitari può impedire agli annunci di installare cookie di tracciamento e persino malware;
- se si usa una rete pubblica (come un hotspot Wi-Fi), fare molta attenzione, poiché ogni pagina visitata esporrà le proprie informazioni personali, inclusi nomi utente e password;
- non solo è saggio stare attenti a ciò che si archivia nel cloud ove possibile, ma anche assicurarsi che i vari cloud siano sicuri.
Agli utenti “avanzati” simili regole possono apparire scontate: ma la realtà dei comportamenti posti in essere da gran parte dei consumatori dimostra ancora che, troppo spesso, i behavioral security duties vengono misconosciuti o trascurati e quanto una maggiore cyber awareness nella pratica quotidiana sia oltremodo necessaria.
Articolo a cura di Sergio Guida
Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.