L’inizio di una tipica giornata lavorativa è scandito da piccoli rituali: preparare il caffè, dare un'occhiata alle notizie del giorno, e accedere al proprio account lavorativo. È qui che entra in gioco la routine della password, un elemento importante per le organizzazioni, parte della routine quotidiana per i dipendenti, guidata più dall'abitudine che da una consapevolezza delle sue implicazioni per la sicurezza.
La sofisticata arte di scegliere una password
Quando si entra in una organizzazione, viene fornito l’accesso alla rete aziendale e viene richiesto di scegliere una password per accedere al sistema. Ora, siamo onesti: in questo particolare momento, quanti di noi antepongono la sicurezza dell'organizzazione alla propria comodità?
Naturalmente esistono pratiche aziendali che impongono la scelta di password complesse. Tuttavia, la maggior parte di noi ricorre alla scorciatoia mentale più comoda: riutilizzare la stessa password che utilizziamo da anni in altri contesti, apportando solo le modifiche necessarie per soddisfare i requisiti minimi. Spesso, questa password finisce per essere scritta da qualche parte, per non dimenticarla.
In un contesto lavorativo, riutilizzare una password facile da ricordare può sembrare una scelta ragionevole. Tuttavia, adottiamo lo stesso comportamento anche nella nostra vita privata, dove il supporto è limitato e le conseguenze di una violazione possono essere molto più personali. Eppure, troppo spesso, la comodità continua a prevalere sulla sicurezza.
Sappiamo che riusare le password è rischioso. Perché continuiamo a farlo, allora?
Le organizzazioni tendono a trascurare questo schema comportamentale e reagiscono erogando ore di formazione sulla conformità e sui protocolli di sicurezza, aggiungendo ulteriori carichi a routine già di per sé onerose. Presumono che, se i dipendenti fossero più informati, adotterebbero una gestione più attenta delle password.
In realtà questo comportamento è dovuto a pregiudizi cognitivi profondamente radicati che ci spingono a prendere decisioni influenzate dalla nostra diffidenza verso ciò che è estraneo o poco familiare.
Razionalità limitata: appena sufficiente è sufficiente.
Questo concetto suggerisce che quando le persone sono vincolate da limiti di tempo, mancanza di informazioni e risorse cognitive, non cercano di prendere la decisione più efficace, ma si accontentano di una soddisfacente.
Gestire le password è mentalmente estenuante, quindi utilizziamo scorciatoie come la compilazione automatica del browser o il riutilizzo di vecchie password. Non è pigrizia. È semplicemente un compromesso efficiente nel nostro calcolo mentale costi-benefici.
L’euristica della disponibilità: se me la ricordo, deve essere corretta
Questo bias cognitivo suggerisce che le persone verificano l'integrità o la veridicità di qualcosa in base alla facilità con cui ricordano un esempio o un'informazione. Più è recente o personale, più le persone si sentono sicure, indipendentemente dalla realtà dei fatti.
Gestiamo le password allo stesso modo in cui gestiamo i ricordi: affidandoci a ciò che è più facile da ricordare. Non scegliamo queste password perché sono sicure, e infatti non lo sono, ma perché sono cognitivamente disponibili. Identifichiamo la memorabilità con la sicurezza, anche quando questo ci rende più vulnerabili.
Avversione alla perdita: preferisco non perdere accesso al sistema piuttosto che renderlo più sicuro.
Questo principio cognitivo si riferisce al fatto che le persone avvertono il dolore della perdita in modo più vivido rispetto al piacere di un potenziale guadagno. Per molti utenti la paura di perdere l’accesso è più concreta rispetto al rischio di un attacco informatico.
Prendere decisioni perfette da una forza lavoro in circostanze imperfette spesso si rivela inutile. Se un comportamento sicuro sembra un peso, significa che il sistema non è stato progettato pensando alle persone. E sebbene le pratiche di sicurezza possano essere inculcate con un video di formazione, la responsabilità delle aziende non si ferma qui.
Colmare la distanza tra ciò che è familiare e ciò che è sicuro
Per sostenere un comportamento sicuro su larga scala, le organizzazioni devono liberare i dipendenti dall'onere della gestione delle password. Devono ridurre la probabilità di errori umani e aggirare i pregiudizi che portano alla cosiddetta “password fatigue”, al riutilizzo o all'archiviazione non sicura. Il modo migliore per prevenire comportamenti rischiosi con le password è eliminarne completamente la necessità attraverso l'adozione di strumenti di autenticazione che consentono l'utilizzo di passkey o Single Sign-On (SSO), eliminando i punti di attrito che solitamente causano problemi agli utenti.
Le passkey rappresentano un cambiamento nei comportamenti abituali. Invece di obbligare gli utenti a ricordare o gestire le credenziali utilizzano chiavi crittografiche vincolate al dispositivo che si sincronizzano in modo sicuro. Ove non sia possibile applicare passkey, si può abilitare un SSO, semplificando l'accesso a molteplici piattaforme con un unico punto di accesso per le credenziali e l'autenticazione.
Quando un'organizzazione adotta controlli che eliminano la dipendenza dai bias cognitivi dell'utente, non sta semplicemente implementando una misura di sicurezza. Sta attuando un intervento comportamentale. Sta eliminando i punti decisionali potenzialmente problematici, in cui le persone scelgono ciò che è facile, non ciò che è giusto.
Assicurarsi che le pratiche aziendali rimangano al passo con la tecnologia
La transizione verso una reale sicurezza non può basarsi solo sulla tecnologia. Deve riflettersi anche nelle pratiche aziendali. Sempre più aziende si affidano all’accesso senza password utilizzando soluzioni di Privileged Access Management (PAM). Queste semplificano il processo concedendo, revocando e verificando automaticamente l'accesso secondo criteri predefiniti. Questo garantisce che ogni accesso avvenga in tempo reale senza intervento umano.
Riconoscere i limiti della gestione aziendale delle password
Ne "Il mito di Sisifo", Albert Camus racconta la storia di un uomo condannato a spingere un masso in salita, solo per vederlo rotolare giù ogni volta. Camus usa questa immagine per esplorare come, anche in compiti ripetitivi e apparentemente privi di significato, è insito nella natura umana cercare uno scopo.
Ci si aspetta che le persone siano sempre vigili, seguano rispettino regole sempre più complesse e continuino a lavorare. Ma le persone non funzionano bene sotto pressione costante: col tempo subentra la stanchezza, le abitudini prendono il sopravvento e cerchiamo soluzioni alternative, non per mancanza di interesse, ma perché è insito nella natura umana.
La soluzione non è aggiungere complessità ma ripensare il sistema. Strumenti come passkey, SSO, PAM e intelligenza artificiale non migliorano solo la sicurezza. Sono correzioni filosofiche. Così facendo, il masso svanisce e ciò che rimane è un sistema progettato per riflettere la realtà dei processi mentali e delle capacità cognitive delle persone.
A proposito dell’autore
Niresh Swamy è enterprise evangelist presso ManageEngine, la divisione di gestione IT aziendale di Zoho Corporation. Nel suo ruolo attuale, esplora il panorama tecnologico, informatico e della sicurezza informatica, scoprendo notizie dirompenti sui settori e convertendo la sua ricerca in contenuti di thought leadership. Nel tempo libero, Niresh canalizza la sua creatività nella poesia esistenziale, si perde in romanzi di fantascienza speculativi e divora tutto ciò che riguarda il cinema. Enterprise Analyst, ManageEngine.