L’agenzia per la cybersicurezza nazionale – ACN – e il Garante per la protezione dei dati personali hanno autorizzato l’utilizzo di specifiche linee guida in materia di conservazione delle password, al fine di migliorare il livello di conservazione sicura delle password.
Linee guida ACN: cosa contengono e a chi si rivolgono
Recentemente sono state approvate le linee guida in materia di conservazione delle password da parte dell’Agenzia per la cybersicurezza nazionale (ACN) e del Garante per la protezione dei dati personali: sono state messe a disposizione direttive rilevanti circa le misure tecniche e organizzative da impiegare, con l’obiettivo di costruire un ecosistema digitale più sicuro.
Le linee guida sono usufruibili per tutte le organizzazioni e PA che, in qualità di titolari o responsabili del trattamento dei dati, conservano le password degli utenti sulle proprie piattaforme. Queste linee concernono molteplici soggetti interessati, tra cui gestori dell’identità digitale spid, responsabili di mezzi di posta elettronica e/o pec e gestori di servizi bancari, sanitari e assicurativi. Inoltre, tra i soggetti coinvolti, vi sono anche individui che si occupano costantemente di dati sensibili o giudiziari o coloro che accedono a database di particolare rilevanza o dimensione.
Debolezza delle password e crittografia
Quotidianamente si verificano attacchi informatici a causa di modalità di salvaguardia delle password non adeguate. Alcuni comportamenti scorretti molto diffusi sono l’utilizzo di una password debole e/o l’impiego della stessa password per molteplici servizi. Oltre a ciò, sovente le password sono conservate in database non adeguatamente difesi (ovvero attraverso funzioni crittografiche).
È proprio per questo che queste linee guida sono state divulgate per incoraggiare l’uso della crittografia come strumento di cybersicurezza, nel rispetto della sicurezza e della tutela della privacy.
All’interno del documento sono trattate diverse tematiche. Le più rilevanti sono:
- Password hashing: si tratta di una tecnica di una tecnica di crittografia utilizzata per convertire un input, di qualsiasi dimensione, in un output di lunghezza fissa. Queste linee guida si focalizzano sulle proprietà che le funzioni devono adempiere, oltre alla rilevanza dei possibili attacchi a cui gli archivi di password possono essere soggetti. In particolare, all’interno del documento, vengono presentati gli algoritmi più comuni e impiegati per il password hashing;
- Algoritmi: è presente un intero capitolo che illustra determinate indicazioni sugli algoritmi raccomandati e sui rispettivi parametri, al fine di garantire un livello di protezione efficace e costante.
L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, al fine di:
- evitare che le credenziali di autenticazione (username e password) possano essere violate e finire, conseguentemente, nelle mani di cybercriminali
- impedire che le suddette credenziali possano essere rese pubbliche e utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
