L’abbiamo visto tutti: entri in un nuovo lavoro oppure visiti un ufficio per una chiamata di vendita e vedi che la password wireless condivisa è scritta su ogni lavagna. Anche se non è scritto ovunque, probabilmente è facile da indovinare: prova il nome dell’azienda con 123 alla fine, oppure le E sostituite con dei 3.
Anche per le aziende con password Wi‑Fi difficili da indovinare, è poco probabile che la password sia stata cambiata l’ultima volta che qualcuno ha lasciato l’azienda. Dopotutto, è un fattore che ostacola notevolmente la produttività.
Questa non è chiaramente una buona igiene delle password; una password condivisa (e possibilmente facile da indovinare) che viene cambiata di rado è tutt'altro che sicura.
Ma conta davvero?
La risposta, come quasi tutto, è “dipende”. Ci sono scenari in cui una rete wireless compromessa rappresenta una minaccia reale per il sistema di produzione, e scenari in cui (grazie a una progettazione accurata) la rete dell’ufficio non ha bisogno di alcuna password.
Tuttavia, per la maggior parte delle aziende, la sicurezza della rete è fondamentale e password non sicure possono creare una grave vulnerabilità.
Cosa c’è che non va in una password Wi‑Fi condivisa?
Ci sono diversi rischi importanti associati a una password wireless condivisa. Avere una password condivisa aumenta la probabilità che un utente malintenzionato possa scoprirla e accedere alla tua LAN aziendale.
Sebbene meno aziende mantengano risorse riservate sulla propria LAN aziendale, il tuo ufficio rappresenta comunque una concentrazione di dipendenti, che potrebbero aver allentato le impostazioni di condivisione dei file o dei servizi firewall sui loro laptop. Alcune aziende mantengono uno storage collegato alla rete locale (NAS) per i backup. Anche se gli hacker non riescono ad accedere a risorse riservate, un attaccante potrà comunque stampare “pwn3d” sulla stampante del tuo ufficio finché non finirà la carta.
Nello scenario più probabile, l'aggressore può sfruttare un livello di accesso più elevato concesso inviando traffico tramite l'indirizzo IP pubblico del tuo ufficio. Molte aziende inseriscono nella whitelist l’accesso ai server e alle risorse di produzione in base all’indirizzo IP dell’ufficio oppure esentano l’autenticazione a più fattori dal traffico proveniente dagli indirizzi IP dell’ufficio. In questi casi, un malintenzionato ha un modo per attaccare i tuoi dati sensibili dal tuo parcheggio, e probabilmente non te ne accorgerai.
L’accesso SSH inserito nella whitelist dal tuo ufficio ai tuoi server comporta un rischio relativamente basso, ma una delle falle peggiori è un’interfaccia web “admin” per il tuo servizio di produzione inserita nella whitelist per l’ufficio. Le interfacce web di amministrazione di solito sono molto in basso nell’elenco delle priorità per le patch di sicurezza, poiché sono “solo per uso interno.” Ma un'interfaccia di amministrazione che esegue codice con vulnerabilità note è un bersaglio facile per compromettere l'intero database di produzione.
Un ex dipendente con il dente avvelenato può rappresentare un altro rischio. Le aziende sono particolarmente vulnerabili in questo caso, poiché un dipendente del genere avrebbe conoscenze specifiche sulla tua azienda e sulla tua architettura. Possono comunque accedere alla tua rete senza nemmeno entrare nell'edificio e usare queste informazioni per attaccare un punto debole noto.
Quando va bene una password condivisa o nessuna password?
Una rete wireless senza password può essere utile per le reti guest. Le reti guest non dovrebbero utilizzare lo stesso indirizzo IP pubblico usato dalle reti dei tuoi dipendenti e probabilmente dovrebbero avere limiti di larghezza di banda rigorosi. I dati non saranno crittografati, ma dato che gran parte del traffico avviene tramite SSL, questo non è un problema così rilevante come un tempo.
Per gli uffici, una password condivisa va bene se la cambi ogni volta che un dipendente lascia l’azienda. Come precauzione, ti consigliamo di non avere dispositivi locali e di non inserire l’IP nella whitelist da nessuna parte. Chiunque acceda alle risorse di produzione dovrebbe dover utilizzare le proprie credenziali aziendali (non dimenticare l'autenticazione a più fattori!) e/o usare una VPN per accedervi.
Come faccio a smettere di usare una password wireless condivisa?
Il passo successivo nella sicurezza wireless consiste nel passare a un sistema di accesso che richiede un nome utente e una password.
Tutti i principali sistemi operativi includono già questa funzionalità. Ciò significa che quando il tuo computer prova ad accedere a una rete tramite WPA2-Enterprise, non ti chiederà la password condivisa della rete (che ormai sei abituato a vedere), ma visualizzerà invece una finestra di dialogo che richiede il nome utente e la password univoci del dipendente. Nel backend, il tuo punto di accesso comunica quel nome e quella password a un server RADIUS, che restituirà una risposta “sì” se il nome e la password sono validi, oppure “no” in caso contrario.
Di conseguenza, le organizzazioni possono mantenere le proprie reti sicure e bloccare gli utenti non autorizzati, mentre i dipendenti possono accedere e connettersi con una facilità senza precedenti.
Questo richiede un server RADIUS. Se non ne hai uno, esistono soluzioni RADIUS fornite dal cloud (come Foxpass) che possono convalidare nomi utente e password rispetto a database interni o fonti esterne (come gli account Google Apps).
Quando vuoi accesso alla rete e sicurezza in modo sicuro, Foxpass è la soluzione ideale, portando cloud RADIUS e il controllo degli accessi ad aziende di tutte le dimensioni. Foxpass offre una prova gratuita di 30 giorni e un processo di configurazione semplicissimo, quindi non c’è motivo per cui tu non possa avere questa protezione già oggi. Siamo anche gratuiti per le organizzazioni con meno di 10 utenti!
Wi‑Fi è un marchio di Wi‑Fi Alliance®
