Le “Linee Guida sulla Conservazione delle Password” pubblicate dall’Agenzia per la Cybersicurezza Nazionale, in accordo con il Garante per la Protezione dei Dati Personali, rappresentano un documento fondamentale per comprendere l’approccio consigliato nella gestione sicura delle password nel contesto della sicurezza informatica e della protezione dei dati personali.
Questo documento affronta vari aspetti cruciali della sicurezza delle password, dalla loro creazione e conservazione fino alla scelta degli algoritmi di hashing più adeguati per garantire la massima protezione.
Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.
Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Una delle raccomandazioni principali è l’utilizzo di funzioni di hashing robuste per le password. Questo approccio prevede la trasformazione delle password in una stringa di testo cifrata, rendendo estremamente difficile per eventuali malintenzionati l’accesso alle informazioni originali. Inoltre, viene sottolineata l’importanza dell’aggiunta di un “salt” e, facoltativamente, di un “pepper” a ogni password prima di procedere con l’hashing. Questi elementi aggiuntivi aumentano ulteriormente la sicurezza, rendendo ogni hash unico e quindi più resistente agli attacchi di forza bruta e a quelli basati su tabelle arcobaleno.
Nel contesto della sicurezza delle password, “salt” e “pepper” si riferiscono a due metodi utilizzati per migliorare la sicurezza dei digest di password generati dai processi di hashing:
- il “salt” è una stringa casuale aggiunta alla password prima di applicare la funzione di hashing, rendendo unici i digest anche per password identiche;
- il “pepper” è simile al salt ma viene utilizzato a livello di sistema (non unico per ogni password) e rimane segreto, aggiungendo un ulteriore livello di difficoltà nel caso di attacchi.
Il documento esplora in dettaglio vari algoritmi di hashing, come PBKDF2, scrypt, bcrypt e Argon2, fornendo una panoramica delle loro caratteristiche, dei punti di forza e delle configurazioni consigliate. Questo include la discussione su parametri critici come il numero di iterazioni, la dimensione del “salt”, e il grado di parallelizzazione, elementi chiave per bilanciare efficacemente sicurezza e prestazioni.
Oltre alle specifiche tecniche, le Linee Guida mettono in luce l’importanza di un approccio sistemico alla sicurezza delle password, che includa non solo meccanismi di hashing avanzati ma anche politiche aziendali adeguate, formazione degli utenti e una gestione attenta delle chiavi di cifratura.
Si ricorda che queste Linee Guida in materia di funzioni crittografiche per la conservazione delle password si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication) basata, ad esempio, sul contestuale utilizzo di una password e di uno o più elementi appartenenti alle categorie del possesso (qualcosa che solo l’utente possiede, come una OTP – One Time Password – consegnata via SMS o generata su un dispositivo fisico o un’app, oppure una smart card con certificato digitale) o dell’inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).
Anche in questi casi è necessario proteggere adeguatamente le password degli utenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, per l’accesso ad altri sistemi informatici o servizi online che non necessariamente prevedono procedure di autenticazione informatica a più fattori.
Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).
In ambito pubblicistico si consiglia di adottare le seguenti pratiche, basate sulle raccomandazioni generali delle Linee Guida sulla conservazione delle password:
– Implementazione di Algoritmi Avanzati di Hashing: Utilizzare algoritmi come Argon2, scrypt o PBKDF2 con parametri adeguatamente configurati per aumentare la resistenza agli attacchi di forza bruta e alle tecniche più sofisticate.
– Utilizzo di Salt e Pepper: Aggiungere un “salt” casuale a ogni password prima dell’hashing per rendere unici i digest delle password e un “pepper” segreto a livello di sistema per un ulteriore strato di sicurezza.
– Aggiornamento e Revisione Periodica: Periodicamente rivedere e aggiornare le politiche di sicurezza, gli algoritmi e i loro parametri per tenere il passo con l’evoluzione delle minacce informatiche.
– Formazione e Sensibilizzazione: Organizzare sessioni regolari di formazione per gli utenti e il personale tecnico sui rischi legati alla sicurezza delle password e sulle migliori pratiche per la loro gestione e conservazione.
– Politiche di Sicurezza Forti: Stabilire politiche di sicurezza che promuovano l’uso di password forti e uniche, e che richiedano la loro modifica periodica.
– Monitoraggio e Risposta agli Incidenti: Implementare strumenti e procedure per il monitoraggio degli accessi sospetti e per una rapida risposta agli incidenti di sicurezza.
L’adozione delle misure tecniche raccomandate nelle Linee Guida, o di misure che garantiscono un analogo livello di sicurezza, consente di mitigare in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.
Come indicato anche nelle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (spec. caso n. 6), adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, tenuto conto di quanto previsto dall’art. 34, par. 3, lett. a), del Regolamento (UE) 2016/679, se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).