Business

Chiedere la password in modo sicuro

28 Aprile 2014

Una volta la password era uguale per tutti, finchè non si è cominciato a differenziarla di computer in computer: è iniziata l'era dei post-it appiccicati al monitor, in modo che chiunque potesse accedere.

Finchè un giorno il legislatore ha deciso di imporre vincoli e best practice affinché le password non fossero di pubblico dominio.

E' cominciata l’era delle password personali

Al giorno d'oggi nessuno sa (o almeno non dovrebbe) le password degli altri.

Eppure a chi gestisce i sistemi IT succede ancora di dover chiedere la password agli utenti…
Per capire quanto questa abitudine sia frequente e in che modalità avvenga, abbiamo sottoposto ai nostri rivenditori un sondaggio.




Il 24% sostiene di non chiedere mai la password ai propri clienti.
Ciò significa che sono state impostate delle policy (scritte o de facto) in base alle quali ognuno gestisce la segretezza della propria password e non la divulga mai. Inoltre tutte le applicazioni sono integrate e poggiano su un unico sistema di autenticazione, non richiedendo così di inserire password diverse da quella di login: una best practice ottima per chi si deve occupare della manutenzione.

Il 38% risponde che capita di chiedere la password ai clienti, anche se raramente.
Andrea, per esempio, spiega che la richiesta di password all’utente capita quando l'utente non è davanti al desktop per digitarla in prima persona. In generale può succedere perché le applicazioni non sono integrate con altri sistemi tipo Active Directory (che quindi potrebbero automaticamente prendere le credenziali dell’utente che sta usando il PC in quel momento).
 
Chi invece chiede la password ai propri utenti spesso e volentieri è il 29%: il motivo è che questo è il metodo più veloce per risolvere i problemi.

Infine il 9% afferma di chiedere sistematicamente le password ai proprio clienti, pur essendo consapevole che si tratta di un potenziale buco di sicurezza. Come afferma Mario: "Con il cliente c'è un rapporto di fiducia tale che al fine di risolvere i suoi problemi ti affida le sue chiavi di casa". Senza contare il fatto che spesso le password sono molto semplici da indovinare: il nome del figlio, del cane, la data di nascita…
(A questo proposito, ecco come creare e memorizzare password robuste).
Qual è il mio consiglio?

Benché io capisca la comodità di farsi dare dal cliente le credenziali di accesso per eseguire manutenzione sui computer, mi rendo anche conto della potenziale pericolosità dell’operazione: quando un amministratore di rete si collega con le credenziali di un utente, è come se fosse l’utente stesso a lavorare, qualsiasi cosa avvenga.
Il mio consiglio è di utilizzare questa procedura:
  • formalizzare l’intervento con una notifica (via email o a video);
  • eseguire un cambio password, meglio se con strumenti automatici, ed eventualmente chiedere all’utente di farlo;
  • eseguire l’intervento;
  • configurare i sistemi in modo che al successivo accesso venga chiesto un cambio password forzato.
Personalmente apprezzerei molto un fornitore che non solo mi risolva i problemi, ma che adotti anche un formalismo per definire i limiti del proprio intervento.
E tu?
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)

Potrebbe esserci anche un altro motivo per cui non si chiede mai la password; "perchè le si conosce già tutte".
Battute a parte esistono ancora eventi per cui la password dell’utente serve e quindi deve essere in qualche modo reperita. In contesti con la gestione centralizzata delle utenze diventa anche possibile accedere al computer con un utente secondario di manutenzione. Dove ho a che fare con sistemi AD centralizzati esistono solo due modi per accedere al pc: con l’utente di manutenzione o con la presenza dell’utente del pc. In caso di divulgazione della password si richiede, come da scritto, il cambio password al login successivo.

Emilio Polenghi,

Grazie Emilio!

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.