Conservazione delle password: linee guida e come interpretarle


Viviamo in un mondo digitale, in costante e rapida espansione, dove l’accesso ai dispositivi e ai servizi online è sempre protetto da una o più credenziali d’accesso: il tema delle password e l’importanza della loro conservazione è diventato sempre più attuale e rilevante.

“Nome utente” e “password” sono credenziali che utilizziamo quotidianamente per svolgere attività lavorative e private, dall’accesso ai social network e alle piattaforme di streaming, fino ai negozi online e ai servizi di internet banking.

Proteggere le “parole chiave” che aprono la serratura di un dispositivo, di un file o di un servizio internet diventa dunque di fondamentale importanza, per proteggere i dati strategici e i dati personali dei diretti interessati.

Cosa dice la normativa in materia di password

Nel dicembre 2023, l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali (GPDP) hanno messo a punto specifiche “Linee guida in materia di conservazione delle password”, fornendo importanti indicazioni sulle misure tecniche da adottare.

Molte violazioni dei dati personali, infatti, risultano strettamente connesse alle modalità di protezione delle password. 

I furti di identità spesso sono causati da:

  • utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche;
  • “cattiva abitudine” dell’utente di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare un accesso non autorizzato a una pluralità di sistemi.

Con il furto di username e password, i cybercriminali possono commettere numerose frodi a danno delle vittime. I casi più comuni di utilizzo di dati rubati sono per l’accesso illecito a:

  • siti di intrattenimento (35,6%), 
  • profili social media (21,9%)
  • portali di e-commerce (21,2%)
  • forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%)

Le Linee Guida intendono quindi sensibilizzare sul tema, focalizzandosi sulla crittografia quale tecnica di cifratura che permette il passaggio di dati da una modalità in chiaro (non cifrata) a una nascosta (crittografata).

In particolare, elencano quali siano e come funzionino gli standard di cifratura al momento ritenuti affidabili – ad esempio PBKDF2, Scrypt, e Argon2id – insieme ai parametri minimi per consentire a questi algoritmi di essere efficaci nel loro scopo di protezione del dato. Segnalano inoltre la necessità di inserire dei meccanismi di password hashing nella gestione delle credenziali. 

Le “Linee guida in materia di conservazione delle password” si rivolgono a:

  • tutte le Organizzazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.)
  • soggetti che accedono a banche dati di particolare rilevanza o dimensioni, oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, ecc.).

Leggi le Linee guida sul sito del GDPR ⮕

FAQ sulle Linee guida in materia di conservazione delle password

Per fugare eventuali dubbi e fraintendimenti, il Garante Privacy ha messo a disposizione anche 6 FAQ, disponibili sul sito web. Tra queste, segnaliamo la numero 3.

In caso di utilizzo di una procedura di autenticazione informatica a due o più fattori (c.d. strong authentication), è comunque necessario adottare misure di protezione delle password.

Anche in questi casi, precisa il Garante occorre proteggere adeguatamente le password degli utenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, per l’accesso ad altri sistemi informatici o servizi online che non necessariamente prevedono procedure di autenticazione informatica a più fattori.

Leggi tutte le FAQ sul sito del GDPR ⮕

Password hashing: cos’è e perché serve

Le Linee guida suggeriscono di adottare tecniche di password hashing affinché la password di controllo sia sufficientemente robusta da non permettere accessi illeciti e proteggere le credenziali di accesso (e in alcuni casi le vite) degli interessati.

Per semplificare la comprensione di questa tecnica, Giulio Ellese – Privacy Specialist, Consulente Protezione dati personali e AML presso Spaziottantotto – suggerisce una metafora culinaria, paragonando il password hashing ad una “battuta di fassona al coltello”.

La battuta (che chiameremo “digest”) è il risultato dello sminuzzamento (hashing) del filetto (plain). Ricomporre la battuta in filetto, senza sapere con esattezza dove ogni singolo pezzo di tessuto vada inserito, è un’operazione teoricamente possibile, ma che richiede tanto tempo e sforzo (capacità computazionale).

Le Linee Guida tuttavia ci mettono in guardia dall’utilizzare una funzione di hash “debole”, in quanto i computer di oggi, unitamente alle “Rainbow Tables” (tabelle precompilate con le password più comuni) sono in grado di effettuare numerosi tentativi ad alta velocità (attacchi di “forza bruta”) e di conseguenza potrebbero recuperare in breve tempo il plain (cioè la password che sto cercando di proteggere a tutti i costi!) oltre a comprendere se vi siano utenti con il medesimo digest (che quindi hanno la medesima password).

È quindi necessario aggiungere al filetto … un pizzico di sale!

Il salt è una stringa di bit casuali che viene concatenata alle password in chiaro (nell’esempio è il “filetto” prima di essere tagliato al coltello), prima che questa nuova combinazione diventi il digest (la “battuta al coltello” dell’esempio) mediante la tecnica di hashing. Anche nel caso in cui il potenziale hacker volesse calcolare il plain partendo dal digest così ottenuto, a causa della salatura (salting) non sarà in grado di ottenere il plain di partenza. In presenza di utenti che utilizzino password uguali (scelta sconsigliata, ma realistica) ma con salt diversi, i digest memorizzati avranno un aspetto differente.

Le Linee Guida affrontano, inoltre, il tema della “Quantum-safe” fornendo spunti per password capaci di resistere a speciali algoritmi utilizzati dai computer quantistici.

Il futuro dell’informatica risiede nei cosiddetti “computer ai quanti”, che sfruttano le leggi della fisica quantistica per realizzare particolari algoritmi, le cui variabili possono assumere “più di un risultato alla volta”. E come faccio a proteggermi dai computer quantistici?

Posto che i computer quantistici non saranno alla portata di tutti per un discreto numero di anni, il Garante e l’ACN hanno ritenuto che l’attuale utilizzo delle funzioni quantistiche possa portare ad un raddoppio della velocità, e di conseguenza sia sufficiente raddoppiare la dimensione del digest.

Se sei alla ricerca di un esperto in materia di protezione dei dati, sei nel posto giusto. Usa il form di contatto per spiegarci come possiamo aiutarti!





Source link

Leave a Reply

Your email address will not be published. Required fields are marked *