Email

Ecco perché le password non sono più sufficienti per proteggere le tue email

15 Gennaio 2018

Viviamo in un periodo storico in cui la quantità di dati che un'azienda deve conservare cresce ad un ritmo senza precedenti.

Di conseguenza, aumenta anche il numero di malintenzionati che provano a rubare i dati che ognuno produce (ti basti pensare al business dei cryptovirus).

Oltre a crescere in numero, al giorno d'oggi, gli hacker hanno a disposizione alcuni strumenti particolarmente sofisticati per bucare i sistemi di sicurezza dei tuoi clienti.
Per fare ciò si servono di diversi stratagemmi: ingegneria sociale, attacchi diretti, attacchi attraverso dizionari di password, ecc.

Il problema diventa ancora più grave se si considera la grande quantità di password "deboli" che c’è in giro (e che utilizzano i tuoi clienti). Sai che, persino nel 2017, una delle password più utilizzate è stata “12345678?
 
Secondo un esperimento condotto nel 2013, con l'aiuto di una lista di hash ottenuti online, alcuni hacker sono riusciti a decodificare il 90% di una lista di oltre 16.000 password. Si tratta di numeri spaventosi.
 

Furto di password

Ma per proteggere le password i tuoi clienti non devono solo guardarsi dalle minacce esterne.
Devono fare attenzione anche alle minacce provenienti dall'interno.

Hai mai scritto una password su un pezzo di carta che poi hai gettato nella spazzatura? Hai mai buttato via un vecchio hard disk senza prima distruggere ogni traccia dei tuoi dati? Scommetto che i tuoi clienti lo hanno fatto.

Se questo tipo di informazioni finisce nelle mani sbagliate, può portare a delle perdite finanziarie ingenti per l'azienda del tuo cliente, oltre che a un danno di reputazione notevole.

Per effettuare l'accesso ai tuoi account solitamente hai bisogno di informazioni come:
 

  • qualcosa che sai;
  • qualcosa che possiedi;
  • qualcosa proprio della tua persona (un fattore biometrico come l’impronta digitale, ad esempio).

 
Password e username appartengono alla categoria “qualcosa che sai”.

I tre elementi sopracitati vengono definiti “fattori di autenticazione”, quindi quando una sola di queste categorie è utilizzata per effettuare il login a un sistema, stai usando un solo fattore di autenticazione.
Ormai le password da sole non bastano per proteggere gli account del tuo cliente dagli attacchi sempre più sofisticati degli hacker. Introdurre un secondo fattore di autenticazione può ridurre considerevolmente la possibilità che gli vengano rubati dei dati.

L'autenticazione a due fattori non è un concetto del tutto nuovo. Infatti, la maggior parte di noi lo utilizza già al di fuori del contesto relativo all'email.

Ecco alcuni esempi di autenticazione a due fattori che i tuoi clienti utilizzano tutti i giorni:
 

  • Un bancomat (qualcosa che possiedono) e un PIN (qualcosa che sanno);
  • Un cellulare (qualcosa che possiedono) e un'impronta digitale (qualcosa proprio della loro persona).

MDaemon prevede due fattori di autenticazione per WorldClient, il suo client webmail. Con l'autenticazione a due fattori gli utenti devono fornire due forme di autenticazione, una password e un codice di verifica ottenuto da qualunque client con supporto per Google Authenticator (disponibile nel Play Store di Google).

L'autenticazione a due fattori ha diversi benefici:
 

  • fornisce un livello extra di difesa quando una password non è più sufficiente;
  • riduce il furto di identità online, combatte il phishing e altre tecniche simili perché la sola password non è più sufficiente per accedere ai dati.
  • aiuta ad essere "GDPR compliant", perché puoi dimostrare di proteggere in maniera adeguata i dati contenuti nelle email.
  • rende più sicuro il lavoro da remoto.

 
Vuoi sapere come abilitare e utilizzare l'autenticazione a due fattori in WorldClient di MDaemon? Scoprilo in questa KB.

Se vuoi fornire ai tuoi clienti uno strumento di protezione aggiuntivo come l'autenticazione a due fattori, scarica l'ultima versione di MDaemon!
 
Tratto dal blog di MDaemon  
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Marco Cavallo
Marco Cavallo
4 anni fa

Ho diversi clienti, studi commercialisti, avvocati singoli, notai, ecc. i quali utilizzano uno o più account in webmail (Gmail, Yahoo e altro). Classica autenticazione user e password.
Altri ancora office365
Ovviamente non esistono server di posta……
Come posso offrire loro un servizio di autenticazione a due fattori ?
Devono per forza installare un server MDaemon ?

Grazie

Claudio Panerai
Claudio Panerai
4 anni fa

Ciao Marco,
diciamo che WorldClient/MDaemon integrano l’autenticazione a due fattori in modo "autonomo" per cui è facile per chi usa questo prodotto.
Tuttavia anche per i sistemi che dici tu esistono dei sistemi di autenticazione a due fattori, ti faccio contattare da una collega così per telefono vi chiarite meglio.

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative