L’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno pubblicato le linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

La conservazione sicura delle password è uno degli aspetti tecnici fondamentali nell’ambito della cybersecurity e della protezione dei dati personali che sono il nostro lasciapassare nel mondo digitale. La pubblicazione non riguarda il modo in cui una password personale debba essere generata per mettere al sicuro, ad esempio, il nostro account social, ma il modo in cui il fornitore del servizio a cui si accede deve proteggere la password per accedervi.

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

Obiettivo

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche. Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.

Alcuni dati

Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%). Si stima che nei forum underground ci siano diversi trilioni di credenziali in vendita e che il costo medio globale di una violazione dei dati nel 2023 sia stato di circa 4,5 milioni di dollari, con un aumento del 15% nel corso di 3 anni. Motivo per cui molte organizzazioni prevedono di aumentare gli investimenti per la sicurezza a seguito di una violazione. Dal 2020, ad esempio, i costi delle violazioni dei dati sanitari sono aumentati del 50% e il settore sanitario, in particolare, ha visto un aumento considerevole dei costi di violazione dei dati a partire dal 2020.

Linee Guida Funzioni Crittografiche

Sull’esempio di altre realtà internazionali, la Divisione Scrutinio Tecnologico, Crittografia e Nuove Tecnologie, all’interno del Servizio di Certificazione e Vigilanza dell’Agenzia, guidato dall’Ammiraglio Andrea Billet, ha deciso di avviare la pubblicazione della serie “Linee Guida Funzioni Crittografiche”, che rappresentano le principali funzioni (primitive) crittografiche sia da un punto di vista teorico, che pratico.

Le linee guida sono suddivise in documenti di approfondimento specifici per le differenti tematiche e ambiti di applicazione.

I primi tre documenti riguardano:

Funzioni di hash crittografiche:  strumenti fondamentali per la cybersicurezza poiché, grazie alle loro proprietà, rendono possibile assicurare l’integrità dei dati, cioè consentono di verificare l’alterazione di un dato o un messaggi.

Codici di autenticazione di messaggi (MAC): I codici di autenticazione del messaggio o MAC sono uno strumento crittografico che permette di garantire l’autenticazione e l’integrità di un messaggio e di verificare l’identità del mittente, e trovano applicazione, al giorno d’oggi, in diversi contesti all’interno del mondo digitale.

Conservazione delle password: La conservazione delle password è un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali. Pertanto, è importante che i gestori di sistemi e servizi prevedano misure tecniche per proteggere gli archivi delle password in caso di attacchi e data breach.

Queste linee guida, tutte insieme, forniscono delle indicazioni precise per l’impiego degli algoritmi crittografici lungo l’intero ciclo di vita dei sistemi e servizi ICT, in conformità con i principi di sicurezza e tutela della privacy. In ogni documento, l’ultimo capitolo contiene le conclusioni tratte in seguito alla dissertazione svolta e la lista degli algoritmi e dei parametri raccomandati da ACN.

I documenti tengono in considerazione le minacce presenti al giorno della loro pubblicazione, e verranno tempestivamente aggiornate in base agli sviluppi di ricerca in termini di crittografia e cybersicurezza. Data la diversità tra i sistemi informativi a cui si applicano e la varietà di contesti possibili, ACN non può garantire che queste raccomandazioni possano essere utilizzate nei sistemi informativi di destinazione senza adattamento.In qualsiasi caso, la pertinenza dell’attuazione delle soluzioni proposte da ACN deve essere sottoposta, preventivamente, a valutazione e validazione da parte dei responsabili della sicurezza dei sistemi informativi.