Prima regola fondamentale per l’accesso ad un sistema informatico è l’assegnazione ad ogni operatore di un account personale, evitando account generici come ‘segreteria’ o ‘amministrazione’. Questo porta già da subito vari vantaggi ben comprensibili a tutti. L’accesso e l’operatività dell’account può essere monitorata individualmente, ad ogni account operatore possono essere forniti specifici diritti di azione ed in ultimo, ma non per importanza, un utente di cui si rilevino attività improprie, o che termini il rapporto lavorativo, può essere immediatamente disabilitato, senza che ciò interferisca con il lavoro degli altri.

Come avviene l’accesso?

In   genere   tramite   l’assegnazione   all’utente   di   una   coppia username/password personali, che dovranno essere custodite con cura, il che già è un’affermazione non priva di criticità. Chi può controllare, nei fatti, come e dove il proprio operatore custodirà gli accessi? Potrebbero venire scritti in un post-it attaccato al monitor, o in una nota del cellulare o salvati magari direttamente nel proprio browser o, peggio ancora, nel browser di un pc pubblico o di un qualche estraneo.

Politiche per la corretta gestione della password.

Anche in una situazione di base potenzialmente insicura, alcune procedure possono essere implementate.
Innanzitutto, evitare di impostare a mano la password dei propri operatori (magari uguale per tutti…) per poi inviargliela per mail. Questo perché si è già in troppi a conoscere quella password. Allora, dove questo sia possibile, è opportuno attivare l’account web all’operatore tramite le funzioni messe a disposizione dal sistema; in questo modo sarà il sistema a generare la password e ad inviarla al diretto interessato, senza che nessun altro la conosca.

Seconda cosa, seppure ciò risulti ai più fastidioso, è opportuno attivare politiche di cambio forzato della password entro un periodo ragionevole di tempo, ad esempio ogni sei mesi.

In ultimo, per limitare al massimo la possibilità di attacchi di forza bruta per scovare la password di un account, è suggeribile attivare il “capcha”, cioè la richiesta di inserire un codice mostrato a video, nel momento in cui si effettua il login. Questo rende molto più difficoltoso il compito di strumenti denominati “bot” che in maniera automatica tentano più e più volte di effettuare l’accesso ad un sistema tentando di indovinare la password.

Gli strumenti che si possono utilizzare per aumentare la sicurezza dell’accesso ad un sistema non si esauriscono comunque qua. Serve introdurre alcuni concetti basilari di networking, cioè di come funziona Internet e le reti in generale.

La rete aziendale, uno strumento di mitigazione dei rischi.

Semplificando la questione, ogni connessione ad Internet, dalla connessione aziendale alla connessione di casa o quella di un negozio, naviga sulla rete presentandosi con un Indirizzo IP (internet protocol), come fosse il proprio indirizzo di casa, che ha il formato di quattro serie di numeri da 0 a 255, esempio 87.1.10.233. Tralasciando la questione dei nuovi indirizzi IPv6 che sono composti da un numero molto maggiore di cifre, gli indirizzi IP sono una “merce” preziosa, quindi soltanto alcuni, in genere aziende che pagano appositamente un servizio extra, hanno un proprio indirizzo IP assegnato, che si dice statico, mentre a tutti gli altri viene assegnato un indirizzo IP variabile (dinamico), quando sono connessi ad Internet.

Se la tua azienda ha la fortuna di avere un indirizzo IP statico, allora tutti gli operatori che si collegano tramite la connessione dell’ufficio proverranno dallo stesso indirizzo IP (uno o più d’uno). In questo caso si possono configurare nel sistema gli indirizzi IP aziendali e configurare gli account amministrativi per consentire l’accesso esclusivamente dalla rete aziendale. Ove tecnicamente possibile, questa soluzione blinda in maniera quasi impenetrabile il sistema, in quanto anche un account che dovesse essere compromesso, non potrà comunque essere acceduto, se non dalla rete aziendale.

I dipendenti in smart working.

Certo, in tante realtà l’ottima soluzione di limitazione degli accessi dalla rete aziendale si può scontrare con la presenza di vari operatori che lavorano in SmartWorking, cioè utilizzando diverse connessioni di rete e quindi non la rete aziendale. Mai sentito parlare di VPN? (Virtual Private Network) beh questa è la soluzione al problema, oltre che una soluzione tecnica che dovrebbe essere un must per chiunque abbia dipendenti che lavorano in tutto o in parte da casa.

Cosa fa una VPN?

Crea un tunnel sulla rete internet tra il Pc dell’utente ed una rete remota, in questo caso la rete aziendale, e consente al Pc di comportarsi come se fosse appunto nella rete interna dell’azienda. Potrà accedere ai dati condivisi nei dischi di rete (NAS), potrà accedere ad eventuali portali interni presenti nella Intranet aziendale e, non ultimo, navigherà su Internet attraverso la rete aziendale, non quella di casa. In questo modo l’accesso al gestionale potrà continuare ad essere limitato alla rete aziendale, con enormi vantaggi in termini di sicurezza.

E se la connessione dell’ufficio ha un indirizzo IP variabile?

Non tutto è perduto, esistono dei servizi di DNS dinamico, come dyndns o altri, che possono in genere essere configurati nel proprio router e che permettono di associare un nome di dominio che si può scegliere a piacere e che rimarrà fisso, diversamente dal proprio indirizzo IP che varierà invece nel tempo.

A questo punto il nome a dominio che abbiamo scelto punterà sempre di vota in volta all’indirizzo IP che il nostro operatore ci ha assegnato in quel momento. Questo permette di configurare il proprio nome a dominio (che abbiamo scelto prima) come indirizzo della rete aziendale, permettendo in sostanza di attivare la restrizione alla rete aziendale, anche per realtà che non dispongono di un indirizzo IP fisso.

A cosa serve allora e cos’è l’autenticazione a due fattori (2FA)?

Considerati gli strumenti elencati sopra, quale motivo potrebbe esserci per dotarsi di un ulteriore livello di sicurezza all’accesso?

Beh, perché l’autenticazione a due fattori è il classico game changer, quel fattore che rivoluziona il campo di gioco e rende quasi obsoleto tutto il resto, seppure ogni cosa scritta rimanga valida.

La 2FA è la stessa procedura che è regolarmente adottata per l’accesso ai conti bancari; il proprio username e password è solo il primo step dell’autenticazione, dopo di che il sistema richiede un codice (OTP) che viene generato in maniera univoca e temporizzata da un’App, in particolare Google Authenticator, e che l’operatore deve inserire a sistema prima che scada, dando prova di essere in possesso non solo degli accessi, ma anche del proprio dispositivo mobile su cui quel codice è presente.

Questo vuol dire che la sottrazione degli accessi username e password diviene un fatto quasi irrilevante, benché deprecabile, in quanto è assolutamente impossibile accedere al sistema senza possedere il cellulare, sbloccato, dell’utente che sta accedendo al sistema.

Considerando che è un servizio totalmente gratuito, che basta un device su cui poter installare Google Authenticator e che l’utente lo può attivare in 30 secondi, perché non farlo?

Assistenza commerciale online di ScuolaSemplice.it