Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Molte piccole e medie imprese continuano a usare password deboli.
Non per sfida al mondo della sicurezza, né per una segreta convinzione ideologica. Più banalmente perché la testa è piena d’altro. Scadenze, clienti, fornitori, problemi che urlano più forte di una stringa di caratteri da ricordare. La password diventa un dettaglio, uno di quelli che si risolvono in fretta. Magari sempre allo stesso modo.
C’è poi la memoria, che non è infinita e nemmeno affidabile. Soprattutto quando le credenziali da gestire sono tante e diverse. Una password semplice sembra un compromesso ragionevole: facile da ricordare, veloce da digitare, nessuna fatica extra. La pigrizia entra in gioco qui, ma senza cattiveria. È più una stanchezza di fondo. E spesso manca proprio la formazione, qualcuno che spieghi perché quel compromesso è rischioso.
Quando non c’è consapevolezza, arrivano gli errori ripetuti. Il riuso della stessa password su più servizi è uno dei più comuni. Funziona, almeno finché funziona. Poi ci sono le credenziali condivise, passate a voce o scritte su un foglio perché “tanto le usiamo tutti”. Il post-it attaccato al monitor è quasi una caricatura, eppure esiste ancora.
Altri errori sono più moderni ma non meno fragili. Password inviate su WhatsApp, magari in una chat di gruppo. Oppure via email, senza pensarci troppo. È comodo, certo. È anche un modo per perdere completamente il controllo su chi può accedere a cosa. Ma in quel momento sembra solo un messaggio in più da spedire, niente di drammatico.
I rischi, invece, sono concreti. Una password debole o riutilizzata è una porta lasciata socchiusa.
Non serve immaginare scenari sofisticati: basta che quella porta venga notata. Una volta dentro, le conseguenze possono essere serie, anche se spesso vengono scoperte tardi, quando il danno è già fatto. E’ anche vero che, non è sempre immediato collegare il problema a quella scelta iniziale così piccola.
Il punto è che molte PMI non percepiscono il rischio come vicino.
È astratto, lontano, qualcosa che capita agli altri. Nel frattempo il lavoro va avanti, e la sicurezza resta sullo sfondo. Non perché non conti, ma perché non urla. E quello che non urla, di solito, viene rimandato.
L’autenticazione a più fattori cambia il quadro in modo piuttosto netto. Non elimina la password, ma la rende meno decisiva. Anche se viene compromessa, da sola non basta più. È come aggiungere un secondo lucchetto, uno che non dipende solo dalla memoria umana o dalla buona volontà.
Per molte aziende, l’MFA è percepita come una complicazione. Un passaggio in più, una seccatura quotidiana. In realtà riduce proprio il peso delle password, quel problema che nessuno ha voglia di gestire fino in fondo. Non è una soluzione magica, ma taglia alla radice una buona parte degli errori più comuni.
Parlare di best practice ha senso solo se restano realistiche. Password diverse, non condivise, non scritte in giro. Sembra ovvio, ma non lo è mai davvero. Serve tempo, serve abitudine, serve che qualcuno spieghi il perché, non solo il cosa. Anche una formazione minima può fare la differenza, se non diventa una predica.
Alla fine, la sicurezza nelle PMI è fatta di piccoli passi. Non di modelli perfetti. Ridurre le scorciatoie, accettare un minimo di attrito in più, usare strumenti che compensano i limiti umani invece di ignorarli. Non è elegante, non è pulitissimo. Però funziona. E spesso basta quello o poco altro di più per iniziare.
