sicurezza password, approvate le linee Guida ACN-Garante Privacy per la corretta conservazione.

Dicembre 14, 2023 by Alberto Bozzo Non categorizzato
Home | Non categorizzato | sicurezza password, approvate le linee Guida ACN-Garante Privacy per la corretta conservazione.

La Sicurezza Cibernetica in Prima Linea: Nuove Linee Guida per la Protezione delle Password

In un’era digitale dove la sicurezza dei dati personali è sotto assedio costante, l’attenzione si concentra nuovamente sul tallone d’achille della cyber sicurezza: la protezione delle password.

Le password svolgono un ruolo cruciale nella protezione della vita delle persone nel mondo digitale.

Con l’obiettivo di aumentare il livello di sicurezza per i fornitori di servizi digitali e gli sviluppatori di software, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la Protezione dei Dati Personali hanno elaborato linee guida specifiche sulla conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Queste linee guida emergono in un contesto preoccupante.

La necessità di fornire linee guida per la gestione delle password nasce dall’ampio utilizzo, nel mondo digitale, di sistemi di autenticazione a uno o più fattori, che spesso includono l’uso di password, e dalla loro compromissione a causa di incidenti informatici e violazioni dei dati.

La sicurezza cibernetica e la tutela della privacy sono due facce della stessa medaglia, entrambe di vitale importanza nell’era digitale in cui viviamo. La corretta gestione delle password è un pilastro in questo contesto, poiché incide direttamente sulla protezione delle informazioni sensibili.

Coloro che gestiscono sistemi e servizi informatici hanno il dovere non solo legale ma anche etico di adottare misure tecniche e organizzative avanzate per garantire la sicurezza delle credenziali di accesso. Questo include procedure adeguate per il loro stoccaggio, la loro manutenzione e il loro impiego quotidiano.

Il Regolamento Generale sulla Protezione dei Dati (GDPR), che regola la materia a livello europeo, enfatizza il concetto di accountability, ovvero la responsabilità e l’obbligo di rendicontazione da parte delle entità che trattano dati personali. In questo senso, il GDPR non si limita a richiedere la conformità, ma impone una vera e propria cultura della protezione dei dati, che deve essere integrata in tutte le fasi del trattamento delle informazioni personali, a cominciare proprio dalla gestione delle password.

Studi recenti evidenziano una verità inquietante: l’uso negligente delle credenziali di autenticazione è una minaccia tangibile.
I cybercriminali non perdono tempo a capitalizzare le password rubate, infiltrandosi in una varietà di piattaforme online – dai siti di intrattenimento ai social media, fino ai portali di e-commerce.

Molte violazioni dei dati personali sono strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

La ripetizione della stessa password su più servizi online è una pratica rischiosa che può trasformare una singola violazione di sicurezza in un disastro a catena. Le conseguenze sono gravi: furto d’identità, frodi finanziarie, e persino ricatti.

L’obiettivo delle nuove linee guida è chiaro: fornire raccomandazioni precise sulle funzioni crittografiche da adottare per la conservazione delle password, al fine di evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali.

Queste raccomandazioni sono destinate a tutti coloro che detengono dati di accesso degli utenti, inclusi i gestori dell’identità digitale come SPID o CieID, i fornitori di servizi email, le banche, e molti altri. Le indicazioni si rivolgono anche ai soggetti che accedono a database di rilevante importanza o dimensioni, come i dipendenti delle pubbliche amministrazioni, oltre a professionisti che trattano dati sensibili o giudiziari come medici e avvocati.

L’intento è di blindare le credenziali di autenticazione, impedendo che finiscano nelle mani sbagliate.

Le Linee Guida sottolineano l’importanza dell’uso di funzioni crittografiche robuste per il password hashing, un processo che trasforma una password in un formato sicuro, impedendo ai malintenzionati di sfruttare le password rubate. Il documento non si limita a identificare il problema, ma fornisce anche indicazioni e raccomandazioni sulle funzioni di hashing attualmente considerate più sicure.

L’introduzione del documento pone l’accento sulla necessità di misure tecniche e organizzative efficaci per garantire l’archiviazione, la conservazione e l’utilizzo sicuro delle password.

Nell’ambito della sicurezza informatica, è ormai notorio che gli archivi contenenti password siano divenuti obiettivi primari per gli aggressori digitali. Il furto di queste credenziali e la loro eventuale divulgazione su piattaforme online costituiscono una minaccia in ascesa, con ripercussioni che variano da semplici inconvenienti a disastri di vasta portata a livello finanziario e di riservatezza dei dati.

I database di password sono sempre più esposti a violazioni di sicurezza, i cosiddetti “data breach”, durante i quali i dati vengono non solo trafugati ma anche esposti al pubblico o utilizzati per orchestrate ulteriori attacchi informatici. È fondamentale, pertanto, che le entità responsabili della custodia di tali informazioni adottino protocolli di sicurezza all’avanguardia e si attengano a pratiche di cyber igiene rigorose per prevenire compromissioni.

In tale scenario si comprende l’importanza che assume la crittografia, proprio come mezzo di protezione delle passoword, prima e contrasto alla loro diffusione, poi.

Nell’attuale scenario, in cui gli attacchi informatici sono all’ordine del giorno, queste Linee Guida rappresentano una risorsa preziosa per i gestori dei sistemi e dei servizi.

Dalle piccole imprese alle grandi corporazioni, dalla sanità alle istituzioni finanziarie, tutti coloro che conservano dati personali hanno ora un punto di riferimento chiaro su come proteggere le credenziali dei propri utenti.

Il dato è crudo e parla chiaro: il 35,6% delle credenziali rubate viene utilizzato per violare siti di intrattenimento, il 21,9% per infiltrarsi nei social media e un ulteriore 21,2% nei portali di e-commerce. Questi numeri non sono solo statistiche fredde; rappresentano vite quotidiane intaccate da intrusioni non autorizzate che possono sfociare in perdite finanziarie, danni alla reputazione e violazioni della privacy.

Ma il fenomeno non si arresta qui. I dati sottratti aprono le porte anche a forum e siti web di servizi a pagamento (18,8%) e, sebbene in misura minore ma non meno preoccupante, al mondo finanziario (1,3%). Quest’ultima percentuale, benché piccola, nasconde rischi enormi per la sicurezza economica degli individui.

La situazione descritta dal Garante Privacy è un campanello d’allarme per l’industria della sicurezza informatica e per gli utenti stessi. È un invito a rivedere le proprie abitudini digitali, a rafforzare le misure di sicurezza e a prendere coscienza che ogni azione online può essere vulnerabile.

Le istituzioni fanno la loro parte con la creazione di linee guida e raccomandazioni, ma la responsabilità è anche individuale. L’adozione di password complesse, l’utilizzo di autenticazione a più fattori e la vigilanza costante sono passi fondamentali verso la costruzione di un ambiente digitale più sicuro.

La lotta contro il furto di credenziali non è solo tecnologica, ma anche culturale e comportamentale. La consapevolezza è il primo passo verso la protezione.

La sfida è notevole: le password sono spesso l’unico baluardo tra i dati sensibili degli utenti e il mondo esterno. Implementare le raccomandazioni delle Linee Guida non è solo una questione di conformità, ma un atto di responsabilità nei confronti della sicurezza digitale collettiva. Mentre il documento delle Linee Guida segna un passo avanti nel campo della sicurezza informatica, la strada verso un ambiente digitale completamente sicuro è ancora lunga.

Tuttavia, con l’adozione di queste pratiche avanzate, possiamo sperare in un futuro in cui i dati personali siano custoditi con la massima sicurezza possibile, riducendo significativamente il rischio di violazioni devastanti.

Le nuove Linee Guida sulla sicurezza delle password rappresentano più di un semplice manuale tecnico; sono un appello a migliorare gli standard di sicurezza nell’ambiente digitale. Questo documento invita tutte le parti interessate a unirsi per creare un internet più sicuro, dove la privacy e la protezione dei dati siano assicurate a tutti i livelli. L’efficacia di queste linee guida dipende da un approccio complessivo alla sicurezza informatica che comprenda sia le strategie aziendali che le abitudini degli utenti.

Solo attraverso la collaborazione tra enti regolatori, aziende e cittadini si può sperare di tenere al passo con le sempre più sofisticate strategie dei cybercriminali.

Nel contesto della protezione dei dati digitali, il primo aspetto da valutare è l’imprescindibile utilizzo di metodi di crittografia per la sicura conservazione delle password. È essenziale adottare algoritmi crittografici robusti, che riducano il pericolo di intrusioni e rendano ardua la decifrazione delle password, anche se intercettate.

Le normative e le raccomandazioni in materia di sicurezza informatica convergono sull’impiego delle tecniche di password hashing. Queste ultime evidenziano l’inadeguatezza delle pratiche che prevedono la memorizzazione e la conservazione di password in forma leggibile, senza alcuna cifratura, in quanto tali pratiche sono in contrasto con i fondamenti della sicurezza informatica.

Diventa quindi indispensabile archiviare non la password stessa, ma il suo “digest”, ovvero un insieme di caratteri generato attraverso una funzione di hash applicata alla password originale. Questa procedura garantisce che, nell’eventualità di un accesso non autorizzato al database, l’aggressore possa entrare in possesso solamente dei digest, che sono intrinsecamente unidirezionali e, pertanto, non reversibili. Questo significa che l’inversione delle funzioni di hash è talmente complessa da rendere estremamente improbabile il recupero delle password originali degli utenti.

In qualità di consulente legale specializzato in cyber sicurezza, è mio dovere sottolineare l’importanza di tali misure e assicurarmi che le organizzazioni implementino protocolli di crittografia adeguati, non solo per conformarsi alle normative vigenti ma anche per salvaguardare la fiducia e la sicurezza dei loro utenti.

Il password hashing

Nel contesto della protezione dei dati digitali, il primo aspetto da valutare è l’imprescindibile utilizzo di metodi di crittografia per la sicura conservazione delle password. È essenziale adottare algoritmi crittografici robusti, che riducano il pericolo di intrusioni e rendano ardua la decifrazione delle password, anche se intercettate.

Le normative e le raccomandazioni in materia di sicurezza informatica convergono sull’impiego delle tecniche di password hashing. Queste ultime evidenziano l’inadeguatezza delle pratiche che prevedono la memorizzazione e la conservazione di password in forma leggibile, senza alcuna cifratura, in quanto tali pratiche sono in contrasto con i fondamenti della sicurezza informatica.

Diventa quindi indispensabile archiviare non la password stessa, ma il suo “digest”, ovvero un insieme di caratteri generato attraverso una funzione di hash applicata alla password originale. Questa procedura garantisce che, nell’eventualità di un accesso non autorizzato al database, l’aggressore possa entrare in possesso solamente dei digest, che sono intrinsecamente unidirezionali e, pertanto, non reversibili. Questo significa che l’inversione delle funzioni di hash è talmente complessa da rendere estremamente improbabile il recupero delle password originali degli utenti.

Il “password hashing” è un processo crittografico che trasforma una password in un insieme di caratteri apparentemente casuale, noto come hash. Questo processo è unidirezionale, il che significa che è praticamente impossibile risalire alla password originale partendo dal suo hash. Ecco un esempio concreto di come funziona il password hashing:

Supponiamo di avere la password “Sicurezza123”. Utilizzando una funzione di hash come SHA-256 (Secure Hash Algorithm 256-bit), la password verrà trasformata in un hash lungo e complesso. Ecco come potrebbe apparire l’hash della password “Sicurezza123”:

SHA-256("Sicurezza123") -> 6c884a414aa1ec2a3cfad1fa0f5a6a56d1b78c2a3a8f8e6e930d6d2e6e8c3be5

Ogni volta che inserisci “Sicurezza123” nella funzione di hash SHA-256, otterrai lo stesso risultato. Tuttavia, non esiste un modo semplice per capire che l’hash sopra corrisponde alla password “Sicurezza123” senza conoscere la password originale.

Questo metodo è ampiamente utilizzato per salvaguardare le password degli utenti nei database. Nel momento in cui un utente imposta o inserisce la propria password, il sistema calcola l’hash della password e lo confronta con l’hash salvato nel database. Se i due hash corrispondono, l’accesso è consentito.

Il vantaggio principale del password hashing è che, anche se un malintenzionato dovesse ottenere accesso al database delle password, troverebbe solo gli hash e non le password vere e proprie, rendendo molto più difficile per lui utilizzare tali informazioni per accedere agli account degli utenti.

Gli altri rischi

Nonostante l’adozione di metodologie avanzate per la sicurezza delle informazioni, permangono criticità che richiedono un’attenta analisi per sviluppare strategie di mitigazione efficaci. In particolare, gli aggressori informatici possono adottare due approcci principali:

Attacco di forza bruta:
Immagina di avere un mazzo di carte e di cercare un asso di cuori. Un attacco di forza bruta è come girare una carta alla volta fino a trovare quella giusta. Nel mondo delle password, significa provare tante combinazioni possibili finché non si indovina quella esatta. È come provare ogni chiave di un mazzo fino ad aprire una serratura.

Attacco al dizionario:
Questo attacco è come avere una lista delle carte più popolari in un mazzo e controllare solo quelle per trovare l’asso di cuori, anziché tutte le carte. Se le persone scelgono spesso l’asso di cuori come loro “carta segreta”, sarà più facile trovarla. Per le password, significa provare parole comuni o frasi che la gente usa spesso, perché è più probabile che qualcuno abbia scelto quelle come password.

Le “rainbow tables” sono come avere un libro che mostra ogni carta e a quale persona appartiene. Se trovi l’asso di cuori nel libro, sai subito chi ha scelto quella carta. Con le password, se hai una lista di password comuni e i loro hash, puoi velocemente vedere se qualcuno ha usato una di quelle password.

Un ulteriore punto critico è legato alla natura delle password scelte dagli utenti: se due o più utenti utilizzano la stessa password, questo verrà rivelato dall’identità dei digest nel database. Per questo motivo, è vitale incoraggiare l’adozione di password uniche e complesse che resistano sia agli attacchi di forza bruta sia a quelli basati su dizionari.

erare, poi, un aspetto fondamentale che riguarda la tipologia di password impiegate dagli utenti: chiunque venga in possesso della lista dei digest potrà individuare le password uguali poiché sarà uguale anche il relativo digest.

Le caratteristiche fondamentali che dovrebbero avere gli algoritmi per trasformare le password in codici sicuri

Gli algoritmi usati per rendere sicure le password devono soddisfare alcune condizioni importanti:

  1. Devono essere veloci nel trasformare una password in un codice sicuro (chiamato “digest”), ma se qualcuno prova a fare questo processo tante volte per indovinare la password, dovrebbe diventare molto lento e difficile, così da scoraggiare i malintenzionati.
  2. Devono usare abbastanza memoria del computer per fare in modo che, se qualcuno cerca di calcolare tanti codici sicuri tutti insieme, la memoria si riempia e rallenti tutto, rendendo l’attacco meno efficace.

In poche parole, questi algoritmi dovrebbero rendere semplice e veloce creare un codice sicuro per una singola password, ma se qualcuno cerca di farlo per molte password contemporaneamente, diventa molto complicato.

Inoltre, c’è un consiglio specifico: usare codici sicuri più lunghi. Questo aiuta a proteggere le password anche dagli attacchi dei futuri computer super potenti, chiamati computer quantistici.

Se una password viene comunque messa a rischio da un attacco, bisogna trovare il modo migliore per ridurre il pericolo che possa essere scoperta.

L’uso di salt e pepper

Per rendere una password più difficile da scoprire, si può aggiungere qualcosa chiamato “salt”, che è un po’ come mettere un ingrediente segreto in una ricetta. Immagina di avere una ricetta per una torta, ma per ogni persona che la fa, aggiungi un ingrediente segreto diverso. Anche se qualcuno sa come è fatta la torta, senza conoscere l’ingrediente segreto specifico per quella persona, non potrà replicarla esattamente.

Il “salt” è una serie di lettere e numeri casuali che si mescolano alla tua password prima di trasformarla in un codice che gli altri non possono capire (il digest). Poi, si salva questo salt insieme al codice, ma in un posto diverso.

Ecco perché il salt aiuta:

  • Se un ladro di password prova a indovinare tante password usando un elenco di parole comuni (attacco al dizionario), deve aggiungere il salt unico a ogni tentativo, e questo lo rallenta molto.
  • Se due persone hanno la stessa password, i loro salt saranno diversi, quindi i codici finali saranno diversi. Il ladro non può capire che le password sono uguali solo guardando i codici.
  • I trucchi per indovinare le password velocemente (come le rainbow tables) non funzionano più perché il salt cambia la password in modo che non sia più una di quelle comuni.

Il salt non rende la singola password più sicura, ma rende più difficile per il ladro di password rubare tutte le password insieme.

Per essere davvero efficace, ogni salt dovrebbe essere:

  • Totalmente casuale e diverso per ogni password.
  • Abbastanza lungo, così il ladro non può preparare in anticipo un elenco di tentativi con tutti i possibili salt.

Oltre al salt, a volte si usa anche il “pepper”, che è come un altro ingrediente segreto, ma invece di essere diverso per tutti, è lo stesso per tutte le password. La cosa importante è che nessuno deve sapere quale sia. Funziona come una chiave speciale che cambia il codice della password in un modo ancora più complicato.

Se aggiungi il pepper, nel posto dove salvi i codici delle password avrai una versione ancora più nascosta e sicura di questi codici. Quando qualcuno inserisce la sua password, usi di nuovo il pepper per vedere se combacia con quello che hai salvato.

Gli algoritmi consigliati dalle linee guida ACN

Le linee guida parlano di come proteggere le informazioni usando qualcosa chiamato algoritmi, che sono come complesse ricette matematiche per nascondere i dati. Questi algoritmi hanno diverse impostazioni che possono essere regolate, come:

  • Costo computazionale: quanto è difficile per un computer fare il lavoro. È come scegliere se frullare gli ingredienti con un frullatore a mano o uno elettrico. Con la mano ci vuole più tempo e fatica, quindi è più difficile per chi cerca di indovinare la ricetta.
  • Memoria utilizzata: quanta “spazio” sul computer l’algoritmo usa. Se usi più memoria, è come se avessi bisogno di una cucina più grande per fare la torta, il che rende più difficile per un ladro di ricette entrare e rubare il processo.
  • Personalizzazione: puoi cambiare queste impostazioni in base alle tue necessità, un po’ come aggiustare la temperatura del forno o il tempo di cottura per la tua torta.

Le linee guida suggeriscono poi dei parametri minimi da seguire, come:

  • Lunghezza minima del salt: quanto deve essere lungo l’ingrediente segreto per essere efficace.
  • Lunghezza del digest: quanto lungo deve essere il codice finale che nasconde la tua password.
  • Numero di iterazioni: quante volte mescoli gli ingredienti insieme per rendere la ricetta più complicata da copiare.
  • Algoritmo HMAC: una tecnica speciale per mescolare gli ingredienti in modo ancora più sicuro.
  • Requisiti di memoria: quanto spazio devi prevedere per fare tutto il lavoro senza che qualcuno possa guardare.
  • Grado di parallelizzazione: se puoi fare più passaggi contemporaneamente o se devi farli uno alla volta.

Conclusioni

Per tenere al sicuro le password e gestirle bene, ecco alcune regole fondamentali da seguire:

  1. Non salvare le password in modo che si possano leggere facilmente (non in chiaro):
  • È come scrivere la combinazione di una cassaforte su un foglio appiccicato sulla porta. Chiunque può leggerla!
  1. Usare metodi di “hashing” per le password:
  • Il “hashing” è come frullare tutti gli ingredienti di una ricetta così che nessuno possa riconoscere la ricetta originale.
  1. Scegliere algoritmi di hashing sicuri:
  • Questi algoritmi sono come frullatori speciali che lavorano in modo che sia facile frullare una sola ricetta, ma diventa troppo difficile e costoso se qualcuno prova a frullare tante ricette per indovinare quella giusta.
  • Devono anche usare abbastanza memoria per rallentare chi prova a fare molti tentativi tutti insieme.
  1. Usare un “salt” (un pezzo di dati aggiunto alla password prima di fare l’hash):
  • Il salt deve essere lungo (almeno 128 bit) e diverso per ogni password, come se ogni ricetta avesse un suo ingrediente segreto unico.
  • Conserva questo ingrediente segreto (salt) in un posto diverso da dove tieni le ricette frullate (digest).
  1. Preferire algoritmi moderni e forti come scrypt e Argon2id:
  • Sono come i frullatori più nuovi e potenti che fanno un lavoro migliore nel proteggere le ricette.
  1. Impostare bene i parametri dell’algoritmo Argon2id:
  • Se aumenti la possibilità di fare più cose insieme (parallelizzazione), devi anche aumentare la memoria o il numero di volte che mescoli (iterazioni).
  • Scegli le impostazioni in base a quanto il tuo computer è potente, per essere veloce con una ricetta ma lento se qualcuno prova a indovinare molte ricette.
  1. Se si usa l’algoritmo PBKDF2, bisogna usare solo le funzioni di hash consigliate e aumentare il numero di iterazioni:
  • È come dire di usare solo ingredienti di buona qualità e mescolare molte volte per rendere la ricetta sicura.
  1. Evitare l’algoritmo bcrypt perché è vecchio:
  • È come usare un vecchio frullatore che non lavora più così bene come una volta.

Seguendo queste regole, le tue password saranno molto più sicure.

ACN-GPDP-Linee-Guida-Conservazione-PasswordDownload