Conservazione password: nuove linee guida
Ad oggi, imparare ad eseguire una conservazione password corretta è diventata fondamentale. Furti di identità, richieste di riscatto e altri attacchi sono infatti all’ordine del giorno. Nell’era digitale, le password sono fondamentali come chiavi d’accesso a un tesoro di informazioni sensibili e personali. Gestirle correttamente è cruciale per proteggere non solo i nostri dati finanziari ed economici, ma anche la nostra privacy e sicurezza online.
Le password deboli o facilmente individuabili sono un invito agli attacchi informatici, che possono causare danni finanziari considerevoli e mettere a rischio la nostra reputazione online. Inoltre, perdere la fiducia dei clienti o degli utenti a causa di una violazione dei dati può essere estremamente difficile da recuperare e potrebbe danneggiare irreparabilmente la nostra immagine aziendale o personale.
Per affrontare questa sfida, è essenziale adottare pratiche di gestione delle password robuste e sicure. Ciò include l’uso di password complesse e uniche per ogni account, l’implementazione di misure aggiuntive come l’autenticazione a due fattori e l’utilizzo di soluzioni di gestione delle password affidabili. Inoltre, è importante educare costantemente sia i dipendenti che gli utenti sull’importanza della sicurezza delle password e sulle migliori pratiche per mantenerle al sicuro.
Scopriamo insieme cosa hanno stabilito in proposito l’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali.
Situazione attuale nazionale
- spesso non si conoscono le modalità corrette per generare e custodire password sicure;
- ove create, esse vengono conservate in database non adeguatamente difesi con funzioni di crittografia;
- si tende a riutilizzare più volte la medesima password, più facilmente individuabile da eventuali hacker;
- le amministrazioni, in qualità di responsabili del trattamento, non adottano best practice in materia di conservazione di informazioni sensibili.
- siti di intrattenimento (35,6%);
- social media (21,9%);
- portali di e-commerce (21,2%);
- forum e siti web di servizi a pagamento (18,8%);
- siti a carattere finanziario (1,3%).
Linee guida per conservazione password
Nelle Linee Guida per la conservazione delle password vengono fornite alcune indicazioni importanti per migliorare la sicurezza digitale. Si tratta di raccomandazioni sulle funzioni crittografiche più sicure che mirano a prevenire eventuali violazioni da parte di cybercriminali.
Nello specifico, le categorie a doversi preoccupare di adottare determinate misure tecniche sono:
- fornitori di servizi digitali, specialisti di sistemi IT e di sviluppo software;
- imprese ed amministrazioni;
- titolari o responsabili del trattamento;
- figure manageriali alle prese con informazioni aziendali sensibili;
- coloro che conservano sui propri sistemi le password dei propri utenti, tra cui
- gestori dell’identità digitale SPID, di PEC, o di servizi di posta elettronica;
- soggetti che accedono a banche dati di particolare rilevanza o dimensioni, ad esempio i dipendenti di pubbliche amministrazioni;
- utenti che trattano abitualmente dati sensibili o giudiziari, come avvocati, magistrati;
- banche, assicurazioni, operatori telefonici, strutture sanitarie.
Le motivazioni per cui le violazioni dei dati sono sempre più frequenti derivano dall’insieme di più fattori:
- estrema digitalizzazione di ogni tipo di sistema;
- pratiche inadeguate nella protezione delle password;
- furti di identità collegati all’uso di credenziali archiviate in database non sufficientemente protetti;
- tendenza degli utenti a utilizzare le stesse password su diversi servizi online.
I dati compromessi vengono spesso sfruttati per frodi, usi impropri di username e password, furti di identità, richieste di riscatto e altri attacchi.
Conservazione password: gli elementi principali
- funzioni di hash: fondamentali nella sicurezza informatica, verificano l’integrità di dati e firme digitali, la conservazione sicura delle password e la distribuzione affidabile di software. Ne esistono di due tipologie differenti. Le prime, che prendono il nome di “iterate”, dividono il messaggio in blocchi e applicano ripetutamente una funzione di compressione. Quelle “a spugna”, invece, utilizzano una permutazione e operano in fasi di assorbimento e spremitura;
- codici di autenticazione di messaggi: assicurano l’autenticazione e l’integrità dei messaggi senza cifrarli e sono fondamentali nelle comunicazioni elettroniche. Il documento fornisce indicazioni su algoritmi MAC sicuri, generando un tag. univoco per il messaggio condiviso solo da chi possiede la chiave segreta. I MAC rispondono all’esigenza di autenticare il mittente e garantire l’integrità dei messaggi, impedendo contraffazioni tramite chiavi segrete condivise;
- password hashing: si tratta della trasformazione di una password in una stringa di lettere o numeri tramite un algoritmo di crittografia. In caso di hacking ad un sito, questa funzione impedisce loro l’accesso alle password in quanto ottengono solo l’incomprensibile hash cifrato creato precedentemente.
L’importanza della crittografia
- non rivelarle mai le ad altri;
- usarne di differenti per account diversi;
- utilizzare l’autenticazione a più fattori;
- crearne di difficili da indovinare ma facili da ricordare.
- strettamente legata all’impatto dello smart working che ha abbattuto la distinzione tra la sfera digitale privata e lavorativa;
- provocata dalla nascita di aziende sempre più digitali e sempre più esposte agli attacchi informatici;
- spinta dalla crisi economica che ha portato persone con competenze tecniche a cercare di guadagnare in modo illegale;
- proporzionale alla diffusione della digitalizzazione;
- evoluzione degli strumenti tecnici a disposizione;
- utilizzo di malware che rubano credenziali per poi metterle in vendita in siti specializzati nel dark Web;
- esistenza di vere e proprie cybergang o persone affiliate ai gruppi dietro ricompensa.