Password aziendali: il problema di sicurezza più sottovalutato nelle PMI
La maggior parte delle violazioni di account aziendali non avviene per exploit tecnici sofisticati. Avviene perché qualcuno usa 'Azienda2023!' come password su tutto. Come risolvere un problema che si può risolvere senza budget.
Redazione
Consulenza Digitale Italia
C'è un dato che gira da anni nelle ricerche sulla sicurezza informatica: oltre l'80% delle violazioni di dati aziendali sono facilitate da password deboli o riutilizzate.
Non da malware sofisticati. Non da zero-day scoperti da hacker di stato. Da password come "Nomeditta2022" usate su dieci servizi diversi, di cui uno è stato violato e le credenziali sono finite su un database pubblico.
Perché le PMI hanno un problema di password
Nelle grandi aziende il problema delle password viene gestito con policy IT forzate, sistemi di single sign-on, Active Directory. Nelle PMI, nessuno ha mai scritto una policy sulle password. Ogni dipendente gestisce i propri accessi come crede.
Il risultato tipico:
La stessa password viene usata per email aziendale, gestionale, banca online, e magari lo stesso account privato. Quando uno di questi servizi viene violato — e alcuni vengono violati regolarmente — le credenziali diventano disponibili a chiunque le voglia cercare.
Le password vengono condivise via email o su foglietti. Quando un dipendente lascia l'azienda, nessuno sa esattamente a quali servizi aveva accesso, e cambiare tutto manualmente richiede giorni.
Gli account di servizi critici — provider email, gestionale, cloud — non hanno autenticazione a due fattori. Una password rubata è sufficiente per accedere.
La soluzione: un gestore di password aziendale
Un gestore di password aziendale risolve questi problemi con uno strumento solo.
Genera password uniche e forti per ogni servizio. Non le deve ricordare nessuno: il gestore le memorizza e le inserisce automaticamente al login. Il dipendente deve ricordare una sola master password.
Permette la condivisione sicura. Le credenziali condivise vengono distribuite senza che nessuno veda mai la password. Quando un dipendente lascia, si revoca il suo accesso al gestore. Tutto il resto rimane intatto.
Dà visibilità agli amministratori. Chi gestisce l'IT può vedere quali account esistono, chi ha accesso a cosa, quali password sono deboli o riutilizzate, e ricevere avvisi se una credenziale aziendale appare in un data breach noto.
I costi sono bassi: i principali strumenti aziendali (1Password Business, Bitwarden Business, Keeper) costano 3-8 euro per utente al mese.
L'autenticazione a due fattori: non opzionale
Un gestore di password risolve il problema delle password deboli. L'autenticazione a due fattori (2FA) risolve il caso in cui una password venga comunque rubata.
Con il 2FA abilitato, conoscere la password di un account non basta per accedere. Serve anche un codice temporaneo che arriva sullo smartphone dell'utente. Un attaccante che ha la password ma non ha il telefono non entra.
I servizi su cui il 2FA va abilitato come priorità: email aziendale, gestionale, ERP, piattaforme cloud (AWS, Azure, Google Cloud), VPN, banca online.
La maggior parte di questi servizi lo supporta già. Non richiede nessuna configurazione tecnica avanzata: si entra nelle impostazioni di sicurezza dell'account e si segue la procedura guidata.
Come implementarlo senza creare resistenza
Il problema con le policy di sicurezza nelle PMI non è tecnico, è umano. Le persone usano password semplici e riutilizzate perché è comodo. Introdurre un gestore di password richiede che qualcuno lo installi, che si crei fiducia sullo strumento, che i colleghi lo usino davvero.
L'approccio che funziona:
Iniziare con le persone che gestiscono sistemi critici (amministrazione, IT, direzione). Mostrare concretamente come funziona — non spiegarlo in astratto, farlo vedere. Migrare i primi 10-15 account critici insieme a chi li usa.
Una volta che le persone toccano con mano quanto è più comodo — non dover ricordare password, compilazione automatica — la resistenza cala. La sicurezza che è anche più comoda dell'alternativa è la sicurezza che le persone adottano davvero.
Leggi anche:
Tag
Domande Frequenti
Un gestore di password aziendale è sicuro?
I gestori di password professionali (1Password Business, Bitwarden Business, Keeper) sono molto più sicuri dell'alternativa reale, che è usare password deboli e riutilizzate su tutti i servizi. Il rischio di un gestore di password è concentrato su un singolo punto di vulnerabilità, ma questo punto è protetto da crittografia forte e autenticazione a due fattori. Il rischio di non usarlo — password deboli, condivise via email, scritte su fogli — è molto più alto.
Come si gestisce la condivisione delle password tra dipendenti?
I gestori di password aziendali permettono di condividere credenziali specifiche con gruppi o singole persone senza che nessuno veda mai la password in chiaro. Quando un dipendente lascia l'azienda, si revoca il suo accesso al gestore e tutte le password condivise con lui rimangono al sicuro senza dover cambiare manualmente ogni account. È questo, più della sicurezza tecnica, il motivo per cui vale la pena adottare uno strumento aziendale.
Quante password diverse dovrebbe avere un dipendente?
Ogni servizio o account dovrebbe avere una password unica e generata casualmente. Un dipendente che usa 10-15 servizi aziendali dovrebbe avere 10-15 password diverse, ognuna lunga almeno 16 caratteri. Senza un gestore di password, questo è umanamente impossibile da gestire. Con un gestore, diventa automatico.
Approfondisci
Esplora tutti gli articoli dell'archivio su digitalizzazione e AI per le PMI.