Per una piccola azienda è facile pensare "Non abbiamo niente di valore da rubare, chi ci prenderebbe di mira?": ma questo è un errore. La verità è che le piccole aziende sono particolarmente vulnerabili agli attacchi di ingegneria sociale.
Secondo uno studio recente, le piccole aziende hanno il 350% di probabilità in più di subire attacchi di ingegneria sociale rispetto alle grandi imprese. Inoltre, senza i team addetti alla sicurezza IT e le risorse di cui dispongono le aziende più grandi, le piccole aziende spesso non hanno il personale, la formazione e la tecnologia di sicurezza informatica necessari per poter individuare e impedire questi attacchi. Le passkey potrebbero quindi essere la risposta alle minacce di ingegneria sociale per le piccole aziende?
Perché l’ingegneria sociale è una minaccia
L’ingegneria sociale fa leva sulle vulnerabilità umane manipolando la psicologia e le emozioni al fine di ottenere l’accesso non autorizzato a qualcosa di prezioso. I criminali informatici inducono le persone a condividere informazioni sensibili o compiere azioni che compromettono la sicurezza. Alcune tecniche tipiche di ingegneria sociale includono il phishing (ingannare un utente per acquisire informazioni sensibili), il pretexting (usare una storia inventata per ottenere la fiducia di un utente e indurlo a fare qualcosa), il baiting (promettere un oggetto o un'informazione per convincere un utente a fare qualcosa) e il tailgating (sgattaiolare alle spalle di qualcuno per ottenere l’accesso fisico a un’area protetta, ad esempio intrufolandosi attraverso una porta protetta da chiave elettronica). Il fattore umano è impegnativo da contrastare, perché per natura le persone vogliono fidarsi e aiutare gli altri. I criminali informatici sfruttano questa fiducia per accedere a sistemi e dati al fine di ottenere un guadagno finanziario o materiale. Formare il personale a individuare questi attacchi è fondamentale, ma occorre fare di più, soprattutto perché i ladri informatici stanno diventando più sofisticati.Cosa sono le passkey?
Le passkey sono un metodo di autenticazione alternativo che offre un modo di accedere più sicuro di una password tradizionale. Una passkey è unica per ciascun utente. Le passkey sono inoltre standardizzate, forniscono quindi agli utenti un’esperienza di autenticazione senza password su tutti i dispositivi e browser, senza necessità di eseguire nuovamente la registrazione ogni volta. I browser, i dispositivi o persino i gestori di password possono salvare le passkey per facilitare l’accesso senza password. Una passkey può inoltre combinare i vantaggi dell’autenticazione a più fattori con un processo di autenticazione più agevole, aumentando la sicurezza e la facilità di utilizzo. Con una passkey, un utente può accedere tramite scanner per le impronte digitali, riconoscimento del volto o PIN anziché ricordare e digitare le credenziali. Le passkey, o "coppie di chiavi crittografiche", sono costituite da due componenti: chiavi pubbliche e private. La chiave pubblica è condivisa apertamente e usata per crittografare i dati inviati a un utente. Funziona come un lucchetto e chiunque può usarla per bloccare un messaggio in modo sicuro. La chiave privata rimane sempre segreta. Decodifica i dati crittografati tramite la chiave pubblica: considerala come la chiave che apre il lucchetto. Quando qualcuno vuole inviare dati crittografati o verificare l’identità di un utente, utilizza la chiave pubblica. L’utente può quindi decodificare i dati o dimostrare la propria identità con la chiave privata. Dal punto di vista dell’utente, gli viene semplicemente chiesto di sbloccare il dispositivo o il servizio con l’impronta digitale o la scansione del volto e gli viene concesso l’accesso. Tutto il resto avviene nel back-end. Man mano che un maggior numero di siti web e di app inizia a supportare le passkey, più aziende saranno in grado di passare a un’esperienza di accesso sicura e senza password, in grado di prevenire gli attacchi di ingegneria sociale e rendere l’autenticazione più sicura per tutti.Perché le passkey sono meglio delle password
Le password hanno diversi punti deboli che le rendono vulnerabili all’ingegneria sociale e ad altre minacce informatiche:- Gli utenti spesso scelgono password non complesse e pertanto facili da indovinare o violare.
- Molti utenti riutilizzano le password per più account, aumentando il rischio a tutti gli account quando uno di questi viene compromesso.
- Gli attacchi di phishing possono indurre gli utenti a condividere involontariamente le proprie password.
- Gli sviluppatori possono salvare le password come testo normale nei database o non proteggere altrimenti le credenziali con una sicurezza adeguata, rendendoli vulnerabili alle violazioni di dati.
- Le password, di per sé, non dispongono dell’ulteriore sicurezza dell’autenticazione a più fattori, che molti utenti non abilitano.
- Sono stringhe lunghe, uniche e generate automaticamente, composte da caratteri praticamente impossibili da indovinare o violare.
- Gli utenti non devono digitarle nei moduli web, quindi non sono soggette a phishing o keylogger.
- Le passkey forniscono non disconoscibilità, ovvero è sempre possibile verificare e convalidare l’origine di qualsiasi azione intrapresa con la tua chiave privata, il che può scongiurare gli insider fraudolenti.
- Le passkey possono essere integrate con altri fattori (autenticazione a più fattori) come i dati biometrici per offrire maggiore sicurezza senza richiedere ulteriori passaggi da parte degli utenti.
- Le chiavi private non vengono salvate su server di terze parti, quindi una violazione dei dati non fornisce agli hacker dati di autenticazione utilizzabili.
- Le passkey sono uniche per ciascun server, quindi gli utenti non possono essere indotti ad accedere a un sito web falso.
- Le passkey possono essere usate per l’accesso remoto sicuro, proteggendo la tua azienda dall’accesso non autorizzato.
