In Gazzetta le Linee Guida sulla conservazione delle password mediante la crittografia
Sono state pubblicate sulla Gazzetta Ufficiale del 19 gennaio 2024, Serie generale n. 15 le «Linee guida sulle funzioni crittografiche - Conservazione delle password», elaborate dall'Agenzia per la Cybersicurezza nazionale d'intesa con il Garante per la protezione dei dati personali, adottate con il Provvedimento del Garante per la protezione dei dati personali del 7 dicembre 2023 n. 594 e con Decreto del Direttore della Cybersicurezza nazionale, del 13 dicembre 2023.
Con tale provvedimento le due autorità dettano le funzioni tecniche che devono essere possedute dalle misure crittografiche impiegate per la conservazione delle password.
Obiettivo delle linee guida è quello di fornire indicazioni per rafforzare il livello di sicurezza rispetto alle violazioni di dati personali e furti di identità provocati dai furti di password e, più in generale, credenziali di autenticazione non protette a dovere nella fase di conservazione.
Le linee guida si rivolgono alle imprese e alle pubbliche amministrazioni che agiscono come titolari e responsabili del trattamento e che sono tenute, ai sensi del Regolamento n. 679/2016, ad individuare misure adeguate al livello di rischio individuato nell’ambito del trattamento da esse compiuto, a proteggere i dati personali trattati e quindi conservati nei loro archivi e banche dati informatiche, sempre più di frequente detenute in cloud.
Spesso si tratta di informazioni particolarmente delicate, come credenziali di accesso a Spid, CIE, Pec, posta elettronica, che, se forzate, potrebbero creare seri danni ai cittadini e alle imprese, senza contare quelle dei soggetti che agiscono come intermediari per conto dei loro clienti attraverso le proprie credenziali personali, ad esempio commercialisti, avvocati, notai, medici, ma anche istituti di credito, compagnie assicurative.
E’ consuetudine dei cittadini e delle imprese utilizzare la stessa password o comunque le medesime credenziali per accedere a più servizi e questa è una delle principali cause che, nell’ambito delle violazioni di dati personali, generano furti di identità che a loro volta possono provocare seri danni alle persone, come danni di natura economica e finanziaria, danni di immagine, danni di natura relazionale.
Le linee guida intendono proprio sopperire a tale consuetudine, irrobustendo le misure di sicurezza tecniche delle banche dati di crittografia e rimettendo dunque la responsabilità nelle mani dei titolari e dei responsabili del trattamento che, nel loro ruolo di stakeholders, in questo caso, devono intervenire per coadiuvare le autorità nel contrasto alla cybercriminalità che approfitta delle cattive abitudini degli utenti.
Le indicazioni fornite nelle linee guida si basano sui principi di privacy by design e by default (articolo 25 del Regolamento n. 679/2016).
L’Agenzia per la cybersicurezza nazionale e l’Autorità Garante per la protezione dei dati personali, con tale documento, intendono promuovere l’uso della crittografia come strumento di cybersicurezza efficace a garantire un livello di protezione idoneo e duraturo.
L’obiettivo di questo nuovo intervento a due mani, come si legge dal comunicato presente sul sito di ACN, è coerente con le misure dalla Strategia nazionale di cybersicurezza e con le indicazioni della normativa nazionale ed europea, ed è quello di favorire l’impiego di crittografia, in ambito non classificato, lungo l’intero ciclo di vita dei sistemi e servizi ICT, in conformità ai principi della sicurezza e della tutela della privacy.
Il documento in esame comprende le descrizioni tecniche degli algoritmi più importanti e si conclude con la lista degli algoritmi e dei parametri raccomandati.
Le linee guida sono suddivise in documenti di approfondimento specifici per le differenti tematiche e ambiti di applicazione. I primi tre documenti riguardano “Funzioni di Hash”, “Codici di autenticazione di messaggi (MAC)” e “Conservazione delle password”.
Le indicazioni saranno in aggiornamento continuo in ragione degli sviluppi nazionali e internazionali in termini di crittografia e cybersicurezza.
Il provvedimento contiene inoltre ulteriori raccomandazioni per i titolari e responsabili del trattamento in merito alle misure per attuare, oltre al principio di integrità e riservatezza, anche quello della limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento, affinché le password siano tempestivamente cancellate, anche in modo automatico, quando non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione. Sebbene le Linee Guida non si rivolgano direttamente ai produttori di prodotti, servizi e applicazioni, il Garante e ACN invitano comunque tali soggetti a tenere conto delle predette misure sulle modalità di conservazione delle password e forniscono indicazioni sui criteri da utilizzare per determinare il periodo di conservazione, in quanto, scrive il Garante, i produttori di prodotti, servizi e applicazioni rappresentano, insieme ai responsabili del trattamento, figure essenziali ai fini della protezione dei dati fin dalla progettazione e per impostazione predefinita e dovrebbero essere consapevoli del fatto che i titolari del trattamento sono tenuti a trattare i dati personali solo utilizzando sistemi e tecnologie che integrano i principi di protezione dei dati (cfr. considerando 78 del Regolamento). Le odierne linee guida sono parte di un altro provvedimento elaborato da ACN e dal Garante, le “Linee Guida Funzioni Crittografiche”.
Dopo una iniziale premessa che descrive la finalità e l’ambito soggettivo di applicazione, si introduce nel capitolo due, il concetto di password hashing.
Le funzioni di hash crittografiche sono uno strumento molto importante nel contesto della cybersicurezza in quanto, grazie alle loro peculiarità consentono il controllo sull’integrità dei dati, trovando numerose applicazioni pratiche in ambito informatico.
Nel capitolo 3 vengono presentati nel dettaglio gli algoritmi più comuni utilizzati per il password hashing. Infine, nell’ultimo capitolo sono fornite le indicazioni su quali sono gli algoritmi
raccomandati e sui rispettivi parametri.
Il testo delle Linee Guida con le raccomandazioni tecniche e l’indicazione degli algoritmi più sicuri a protezione delle password nell’ambito della crittografia, è disponibile sul sito di ACN e sul sito del Garante Privacy.
A chiusura di questo intervento, vogliamo comunque ricordare, come è stato fatto dal Garante per la protezione dei dati personali il 4 maggio dello scorso anno, in occasione del Password Day, che tutti noi, quali interessati in generale di processi di trattamento di dati personali, siamo i primi responsabili della protezione delle informazioni che ci riguardano e che quotidianamente rilasciamo a terzi e che quindi, prima degli altri siamo chiamati a cambiare le cattive abitudini e adottare utili gli accorgimenti per creare password più sicure. Se proteggi i tuoi dati proteggi stesso è stato il motto del Garante in quell’occasione, del resto, qui suam custodit non nocet…
E allora, come fare a proteggere le nostre password, quando procediamo nella scelta dei caratteri che le compongono?
E’ opportuno nella scelta delle password:
- combinare sempre numeri, lettere e caratteri speciali (@, &, %, $, # ;*);
- alternare maiuscole e minuscole;
- aumentare la lunghezza delle password (un suggerimento è quello di impostare password di almeno 12 caratteri, se più è preferibile);
- scegliere autenticazione a più fattori se disponibile, magari con una controverifica su telefono o email, oppure con riconoscimento di impronta o facciale;
- utilizzare sistemi di password manager che consentono di ricordare più password attraverso un’unica master password che le custodisce tutte.
Da ultimo, ma certamente non meno importante, occorre fare attenzione ai nostri comportamenti rispetto alle password scelte e quindi:
- optare per diverse password per diversi servizi;
- custodire opportunamente le password;
- non condividerle;
- non cederle;
- non scambiarle mediante dispositivi elettronici, con strumenti come email, messaggistica istantanea o peggio via social.