Conservazione delle password: Garante Privacy e ACN pubblicano le linee guida

Conservazione delle password: Garante Privacy e ACN pubblicano le linee guida per la conservazione, in forma criptata, delle password. La guida è pensata per i fornitori di servizi

Password: un problema serio

“Si stima infatti che nei forum underground ci siano diversi trilioni di credenziali in vendita e che il costo medio globale di una violazione dei dati nel 2023 sia stato di circa 4,5 milioni di dollari, con un aumento del 15% nel corso di 3 anni. Motivo per cui molte organizzazioni prevedono di aumentare gli investimenti per la sicurezza a seguito di una violazione. Dal 2020, ad esempio, i costi delle violazioni dei dati sanitari sono aumentati del 50% e il settore sanitario, in particolare, ha visto un aumento considerevole dei costi di violazione dei dati a partire dal 2020”
Comunicato stampa ACN

si legge nel comunicato stampa con cui ACN ha accompagnato la pubblicazione delle linee guida per la conservazione delle password.

Insomma, si parte da un problema concreto: la sicurezza delle password non grava soltanto sul singolo utente in relazione alle password personali. Anche i fornitori di servizi che prevedono l’utilizzo di credenziali hanno il dovere di tutelare tutti i dati, comprese le password.

Lo scopo di queste linee Guida è proprio quello di intervenire sul problema, sempre più diffuso e frequente, delle violazioni dei database contenenti password (e dati in generale) di utenti. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Per saperne di più > Gestione Sicura delle Password in Ambito Aziendale per la Conformità al GDPR

Conservazione delle password: a chi si rivolgono queste linee guida?

Queste linee guida non contengono indicazioni utili per gli utenti quanto per soggetti come imprese ed amministrazioni che, in quanto titolari di trattamenti dati, conservano le credenziali degli utenti nei propri sistemi. Concretamente quindi queste linee guida riferiscono a soggetti come gestori di identità digitale (SPID), PEC e servizi di posta elettronica, ma anche a banche, assicurazioni, strutture sanitarie ecc… così come a soggetti che accedono a banche dati rilevanti o di grandi dimensioni (si pensi alle PA). Non solo: le linee guida sono utili anche a soggetti come professionisti del campo sanitario, avvocati, magistrati e, in generale, che trattano dati sensibili o giudiziari abitualmente.

Insomma tutti quei soggetti che conservano le password di un elevato numero di interessati.

Conservazione delle password: il contenuto delle linee guida

“L’obiettivo di queste Linee Guida è perciò quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate all’interno dei database in cui sono contenute e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.”

ACN

così ACN presenta l’obiettivo delle Linee Guida. Dopo un lungo capitolo introduttivo, le linee guida introducono il concetto dell’hashing delle password, concentrandosi sulle proprietà che le funzioni devono soddisfare tratteggiando le possibili tipologie di attacco alle quali, solitamente, sono sottoposti i database. Subito dopo la guida introduce gli algoritmi più comunemente utilizzati per l’hashing delle password, mentre il capitolo 4 dettaglia gli algoritmi raccomandati e i rispettivi parametri da impostare.