Garante Privacy e ACN: pubblicate le nuove Linee Guida per la conservazione delle password
14 Dicembre 2023
Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale. proprio con lo scopo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno elaborato specifiche linee guida in materia di conservazione delle password, dando indicazioni importanti sulle misure tecniche da adottare. Infatti, come sottolinea il Garante nel comunicato a riguardo, «sono molte le violazioni dei dati personali collegate alle modalità di protezione delle password. Spesso i furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche». Tali attacchi informatici fanno leva sulla prassi adottata dagli utenti di utilizzare la stessa password per l’accesso ad una molteplicità di servizi online, con il risultato che la compromissione delle credenziali di autenticazione di un servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Si legge nell’introduzione al documento delle Linee Guida che la gestione delle password è un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali; dunque, «i gestori dei sistemi e servizi devono prevedere misure tecniche e organizzative efficaci per l’archiviazione, la conservazione e l’utilizzo delle password». Gli archivi in cui sono conservate le password sempre più di frequente finiscono nelle mani di soggetti esterni in conseguenza di attacchi informatici per poi essere pubblicati online o utilizzati per altri attacchi. Per questi motivi «è estremamente raccomandato l’utilizzo di robuste funzioni crittografiche di password hashing» e il documento delle Linee Guida ha l’obiettivo di fornire indicazioni e raccomandazioni sulle funzioni attualmente più sicure. Si presenta così suddiviso:
Sempre nella nota stampa del Garante Privacy si legge come studi di settore dimostrino che il furto di username e password consente ai cybercriminali di commettere molte frodi a danno delle vittime. «I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%)». Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, come titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, che si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati). Le Linee Guida sono consultabili sui siti web www.gpdp.it e www.acn.gov.it. (Fonte: Diritto e Giustizia) |