Istruzioni GDPR per password sicure in azienda
Password. Come sceglierle e conservarle. Il nuovo vademecum del Garante Privacy
Arrivano le nuove linee guida del Garante della privacy su come selezionare password sicure e come conservarle con cura.
Le password ormai fanno parte delle nostre giornate, le utilizziamo per accedere alla maggior parte dei servizi online, per entrare nell’home banking, nella email, nella pec, nei dispositivi, nei profili social, sul luogo di lavoro e nell’ambito della vita privata.
Sebbene la maggior parte dei corsi di formazione in azienda, le policy, i regolamenti contengano una sezione dedicata alle istruzioni su come impostare password sicure e come custodirle e nonostante la gran parte dei sistemi, nel rispetto del principio della privacy by design, siano settati per non accettare password banali, sono ancora troppe le persone che non si soffermano sulla scelta della password e inconsapevolmente optano per coordinate poco sicure, o non sicure affatto, spesso utilizzando parole di uso comune, termini ricollegabili facilmente al soggetto interessato, oppure usano la medesima parola per diversi servizi e dispositivi, ecco perché è utile ricordare periodicamente anche, in vista dell’avanzamento veloce della tecnologia, le buone prassi sulla scelta delle password e sulla loro conservazione, soprattutto quando utilizzate in ambito professionale.
La scelta di una buona password in molte occasioni (se non in tutte) risulta essere uno strumento efficace a scongiurare pericolose violazioni di dati personali.
Vediamo allora cosa suggerisce il Garante nel suo nuovo vademecum sulle password.
Quando una password è una buona password
Una password è una buona password quando:
- è abbastanza lunga: almeno 8 caratteri, ricordando che più aumenta il numero dei caratteri, più la password diventa “forte” (l’Autorità suggerisce intorno ai 15 caratteri);
- contiene caratteri di almeno 4 diverse tipologie tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (ossia, punti, trattino, underscore, ecc.);
- non contiene riferimenti personali che consentono facilmente di risalire al soggetto (nome, cognome, data di nascita, ecc.). Da evitare anche riferimenti al nome utente (detto anche user account, alias, user id, user name);
- non contiene parole “da dizionario”, ossia termini generici di uso comune: è preferibile essere creativi e inventare termini nuovi, di fantasia oppure alterare vocaboli generici per renderli meno comuni, magari frammentandoli con caratteri speciali (ad esempio: bibita come bib@ita). Il Garante rammenta, infatti, che vi sono programmi informatici che riescono a rubare le password, analizzando regolarmente tutte le parole di uso comune nelle varie lingue, con questa astuzia, invece, si può ostacolare il funzionamento di tali software;
- una password è una buona password quando la si cambia periodicamente, in particolare in ambito lavorativo, per i profili più delicati e quelli che si usano con regolarità (accesso alla e-mail, all’e-banking, ai social network, ecc.).
Come creare una buona password
E’ conveniente utilizzare (laddove disponibili) meccanismi di autenticazione multi fattore (es. codici OTP one-time-password), che aumentano il livello di protezione della password.
Utilizzare password diverse per account diversi e servizi diversi (e-mail, social network, servizi digitali di varia natura, dispositivi in azienda ecc.).
NON utilizzare password già impiegate in passato.
Cambiare immediatamente le password temporanee che il sistema o il servizio informatico
fornisce al primo accesso.
Come proteggere le password
Non scrivere MAI le password su biglietti che poi vengono posti in tasca, in borsa e simili oppure in file non protetti sui propri dispositivi personali (computer, smartphone o tablet).
Non scrivere le password su post-it attaccati ai pc in bella vista.
Non comunicare ad alcuno via email, via sms, via social, mediante altri sistemi di messaggistica aziendale le password.
Anche se vengono comunicate a persone conosciute, le credenziali infatti, potrebbero essere divulgate accidentalmente a terzi o «rubate» da malintenzionati.
Evitare di tenere in memoria sul pc, sul telefono o altro dispositivo o memorizzare sul browser le password, soprattutto se i dispositivi non sono quelli strettamente personali.
Gestori di password
Valutare se è opportuno dotarsi di un “gestore di password”. Il Garante, infatti, nel suo vademecum suggerisce di avvalersi eventualmente di gestori di password, ossia di programmi informatici che generano automaticamente password sicure e consentono di memorizzarle in formato digitale, salvandole in un database cifrato sicuro.