Nonostante si siano fatti anni di sensibilizzazione sull’importanza di password forti e complesse, le aziende fanno ancora uso di password deboli e vulnerabili che compromettono seriamente la cybersecurity aziendale.
Le aziende investono milioni in pubblicità, branding e innovazione per restare competitive. Tuttavia, quando si tratta di sicurezza informatica, molte trascurano una delle misure di sicurezza più importanti: l’uso di password complesse. L’ultima ricerca di NordPass rivela che le password aziendali, in tutti i settori, sono sorprendentemente prevedibili, esponendo le aziende a rischi significativi e rendendole un facile bersaglio per i criminali informatici.
NordPass, in collaborazione con NordStellar, ha analizzato l’uso delle password in 11 settori, rivelando una realtà allarmante: i dipendenti continuano a utilizzare password deboli e facilmente violabili, esponendo le aziende a seri rischi. Dall’assistenza sanitaria alla finanza, dalla tecnologia all’istruzione, molte organizzazioni si affidano ancora a credenziali che gli hacker possono decifrare in pochi secondi.
“È incredibile che, nonostante anni di avvertimenti, le aziende continuino a utilizzare password deboli che sono estremamente facili da violare per gli hacker. I criminali informatici non hanno bisogno di strumenti sofisticati per violare un’azienda quando i dipendenti utilizzano ‘password’ o i loro nomi per proteggere i dati sensibili”, afferma Karolis Arbaciauskas, responsabile dei prodotti aziendali di NordPass.
Industrie differenti, ma l’errore è lo stesso
La ricerca ha rilevato che in tutti i settori analizzati, i dipendenti tendono a utilizzare le stesse password deboli, in particolare semplici sequenze numeriche come “123456” e “123456789”, nei primi posti della classifica. Una tendenza, questa, che non è limitata a un settore specifico. Che si tratti di vendita al dettaglio, automobilistico o alberghiero, infatti, le password più utilizzate rimangono invariate, evidenziando un problema sistemico nella cultura della sicurezza aziendale.
Un altro dato allarmante è l’uso frequente di nomi personali nelle password aziendali. Nomi come “John,” “Michael,” e “Anna”, o, in Italia, “Andrea”, “Francesco” “Francesca” e “Martina” compaiono ripetutamente, rendendoli un facile bersaglio per gli attacchi con metodo a forza bruta.
Non solo, lo studio ha anche rilevato che i dipendenti spesso utilizzano come password i loro stessi indirizzi email aziendali, una pratica incredibilmente rischiosa che fornisce agli hacker metà delle credenziali di accesso necessarie per accedere ai dati sensibili. Le aziende investono in strumenti di sicurezza complessi e in campagne di sicurezza informatica multimilionarie, ma non riescono a far rispettare rigorose politiche in materia di password, lasciando le loro porte digitali spalancate agli aggressori.
“Le password rappresentano la prima linea di difesa, eppure continuano a essere l’anello più debole nella sicurezza aziendale. Gli hacker non hanno bisogno di tecniche avanzate quando sono le aziende stesse a lasciare aperti punti di accesso simili. Finché la sicurezza delle password non diventerà una priorità, le aziende resteranno esposte agli attacchi”, afferma Karolis Arbaciauskas.
Il problema delle password deboli è globale
La ricerca di NordPass ha analizzato le password aziendali più comunemente utilizzate in 44 paesi, rivelando che l’abitudine di utilizzare password deboli non è limitata a un paese o a regione specifica. In ogni paese analizzato, sono credenziali prevedibili, come semplici sequenze numeriche, parole comuni e persino termini relativi all’azienda, a lasciare le aziende vulnerabili alle minacce informatiche.
Gli esperti, inoltre, hanno osservato una tendenza preoccupante: password predefinite come “newmember”, “admin”, “newuser” e “welcome” sono spesso utilizzate per gli account aziendali. Inoltre, le credenziali temporanee come “newpass” e “temppass”, che di norma dovrebbero essere cambiate dopo il primo accesso, rimangono spesso in uso, aumentando il rischio di hacking.
In tutti i settori e in tutti i paesi oggetto dello studio, le password aziendali più violate mostrano uno schema chiaro: i dipendenti continuano a fare affidamento su credenziali facili da decifrare. Ecco le 20 password aziendali deboli che persino un hacker alle prime armi potrebbe violare in Italia:
- 123456
- password
- 12345
- 12345678
- new_user
- 123456789
- qwerty
- andrea
- francesco
- Abcd1234
- alessandro
- francesca
- juventus
- Password
- giuseppe
- giovanni
- New_user
- martina
- perach
- federica
Il ruolo delle password deboli nelle violazioni dei dati aziendali
- Password riutilizzate: i dipendenti spesso utilizzano le stesse password su più account, facilitando l’accesso agli hacker.
- Abitudini rischiose di condivisione delle password: la condivisione delle password tramite email o app di messaggistica aumenta la probabilità di violazioni.
- Errore umano: molte violazioni si verificano a causa di semplici errori o disattenzioni, evidenziando la necessità di una migliore formazione per accrescere la consapevolezza sull’importanza della sicurezza informatica.
- Mancanza di infrastrutture sicure: le aziende prive di solide politiche di sicurezza sono i bersagli principali dei criminali informatici.
Secondo Karolis Arbaciauskas, le aziende devono dare priorità alla cybersecurity implementando piani di resilienza informatica, formazione dei dipendenti e soluzioni di sicurezza di rete come le VPN aziendali. L’autenticazione a più fattori (MFA) è fondamentale perché aggiunge un ulteriore livello di difesa, riducendo il rischio di accessi non autorizzati. La gestione delle password deboli rimane una delle principali vulnerabilità, con molte violazioni causate da credenziali compromesse. Karolis Arbaciauskas consiglia di utilizzare gestori di password per l’archiviazione sicura e di considerare le passkey, adottate da leader del settore come Google e Apple, come alternativa più sicura alle password tradizionali.