Il Garante per la protezione dei dati personali e l’Agenzia per la Cybersicurezza Nazionale hanno redatto e reso note le Linee Guida per la corretta conservazione delle password che, a breve, verranno pubblicate sulla Gazzetta Ufficiale.
Destinatari di tali nuove linee guida sono imprese e pubblica amministrazione.
Le indicazioni del Garante e di ANC sulla conservazione delle password che, nel dettaglio, si riferiscono alle misure tecniche da adottare per proteggere le credenziali, infatti, non sono rivolte al pubblico, ma alle aziende e alle p.a., in quanto titolari e responsabili del trattamento di dati personali.
L’intervento si è reso necessario come tentativo per ostacolare i numerosi furti di credenziali in forte aumento negli ultimi anni; si pensi ai reiterati attacchi ai sistemi informatici di aziende ed enti della pubblica amministrazione, ma anche ai social network, alle aree riservate dei siti di e-commerce, agli account di posta, a cui assistiamo quotidianamente, che spesso implicano il furto di credenziali con la rivendita delle stesse nel Dark Web.
Numerosi data breach di dati personali sono, infatti, strettamente connessi alle modalità di protezione delle password.
In molti casi, i furti di identità vengono provocati dalle misure crittografiche di protezione adottate da titolari e responsabili del trattamento che, a causa della loro inadeguatezza, non riescono a svolgere correttamente la funzione di protezione ad esse assegnata.
I cybercriminali riescono a mettere a segno i loro colpi, in quanto sfruttano la cattiva abitudine degli utenti di utilizzare la medesima password per accedere ai diversi servizi sulla rete, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio si ripercuote su tanti altri. Per questo titolari e responsabili del trattamento devono tenere alta la guardia adottando misure di protezione delle credenziali di autenticazione di alto livello.
Le Linee Guida, dunque, hanno l’obiettivo di fornire consigli utili a titolari e responsabili del trattamento, in merito alle funzioni crittografiche.
L’impiego della crittografia viene infatti incentivato dalle due Autorità, in quanto ritenuta ad oggi la misura più sicura per la conservazione delle password, al fine di scongiurare il rischio che le credenziali di autenticazione (username e password) possano venire razziate, per poi essere rivendute, con gravi ripercussioni sui diritti e le libertà delle persone fisiche, in quanto utilizzate per furti di identità, richieste di riscatto o altri tipi di violazioni.
Le linee guida descrivono diverse situazioni crittografiche e forniscono istruzioni su come le password personali devono essere generate e sul modo in cui il fornitore di un servizio deve custodire le credenziali per consentire agli interessati di accedere ai servizi informatici in tutta sicurezza.
Le indicazioni proposte nelle linee guida si basano sui principi di privacy by design e by default (articolo 25 del Regolamento n. 679/2016), il provvedimento contiene inoltre ulteriori raccomandazioni per i titolari e responsabili del trattamento in merito alle misure per attuare, oltre al principio di integrità e riservatezza, anche quello della limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento, affinché le password siano tempestivamente cancellate, anche in modo automatico, laddove non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione.
Sebbene il documento non si rivolga direttamente ai produttori di prodotti, servizi e applicazioni, il Garante e ACN invitano comunque tali soggetti a tenere conto delle predette misure sulle modalità di conservazione delle password e forniscono indicazioni sui criteri da utilizzare per determinare il periodo di conservazione, in quanto, scrive il Garante, i produttori di prodotti, servizi e applicazioni rappresentano, insieme ai responsabili del trattamento, figure essenziali ai fini della protezione dei dati fin dalla progettazione e per impostazione predefinita e dovrebbero essere consapevoli del fatto che i titolari del trattamento sono tenuti a trattare i dati personali solo utilizzando sistemi e tecnologie che integrano i principi di protezione dei dati (cfr. considerando 78 del Regolamento).
Le odierne linee guida sono parte di un altro provvedimento elaborato da ACN e dal Garante, le “Linee Guida Funzioni Crittografiche”.
Nel documento in esame si legge che per la sua redazione si è tenuto conto delle minacce attuali e che, data la diversa natura dei sistemi informativi di destinazione, non è possibile garantire che queste raccomandazioni possano essere utilizzate senza adattamenti specifici, pertanto, si raccomanda ai responsabili della sicurezza di vagliare preventivamente la pertinenza dell’attuazione delle soluzioni proposte rispetto ai sistemi a cui applicarle.
Nel documento, dopo una iniziale premessa che descrive la finalità del documento e l’ambito soggettivo di applicazione, si introduce il concetto di password hashing, focalizzando l’attenzione sulle proprietà che le funzioni devono soddisfare e sui possibili attacchi a cui gli archivi di password possono essere soggetti; nel capitolo 3, vengono invece, presentati nel dettaglio gli algoritmi più comuni utilizzati per il password hashing. Infine, l’ultimo capitolo contiene le indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri.
Il testo delle Linee Guida è attualmente disponibile sul sito del Garante e su quello dell’Agenzia per la cybersicurezza nazionale.