{"id":4965,"date":"2023-12-14T21:56:49","date_gmt":"2023-12-14T21:56:49","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=4965"},"modified":"2023-12-14T23:38:40","modified_gmt":"2023-12-14T23:38:40","slug":"sicurezza-password-approvate-le-linee-guida-acn-garante-privacy-per-la-corretta-conservazione","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/non-categorizzato\/sicurezza-password-approvate-le-linee-guida-acn-garante-privacy-per-la-corretta-conservazione\/","title":{"rendered":"sicurezza password, approvate le linee Guida ACN-Garante Privacy per la corretta conservazione."},"content":{"rendered":"\n

La Sicurezza Cibernetica in Prima Linea: Nuove Linee Guida per la Protezione delle Password<\/h3>\n\n\n\n

In un’era digitale dove la sicurezza dei dati personali \u00e8 sotto assedio costante, l’attenzione si concentra nuovamente sul tallone d’achille della cyber sicurezza: la protezione delle password. <\/p>\n\n\n\n

Le password svolgono un ruolo cruciale nella protezione della vita delle persone nel mondo digitale. <\/p>\n\n\n\n

Con l’obiettivo di aumentare il livello di sicurezza per i fornitori di servizi digitali e gli sviluppatori di software, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la Protezione dei Dati Personali hanno elaborato linee guida specifiche sulla conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.<\/p>\n\n\n\n

Queste linee guida emergono in un contesto preoccupante. <\/p>\n\n\n\n

La necessit\u00e0 di fornire linee guida per la gestione delle password nasce dall’ampio utilizzo, nel mondo digitale, di sistemi di autenticazione a uno o pi\u00f9 fattori, che spesso includono l’uso di password, e dalla loro compromissione a causa di incidenti informatici e violazioni dei dati.<\/p>\n\n\n\n

La sicurezza cibernetica e la tutela della privacy sono due facce della stessa medaglia, entrambe di vitale importanza nell’era digitale in cui viviamo. La corretta gestione delle password \u00e8 un pilastro in questo contesto, poich\u00e9 incide direttamente sulla protezione delle informazioni sensibili.<\/p>\n\n\n\n

Coloro che gestiscono sistemi e servizi informatici hanno il dovere non solo legale ma anche etico di adottare misure tecniche e organizzative avanzate per garantire la sicurezza delle credenziali di accesso. Questo include procedure adeguate per il loro stoccaggio, la loro manutenzione e il loro impiego quotidiano.<\/p>\n\n\n\n

Il Regolamento Generale sulla Protezione dei Dati (GDPR), che regola la materia a livello europeo, enfatizza il concetto di accountability, ovvero la responsabilit\u00e0 e l’obbligo di rendicontazione da parte delle entit\u00e0 che trattano dati personali. In questo senso, il GDPR non si limita a richiedere la conformit\u00e0, ma impone una vera e propria cultura della protezione dei dati, che deve essere integrata in tutte le fasi del trattamento delle informazioni personali, a cominciare proprio dalla gestione delle password.<\/p>\n\n\n\n

Studi recenti evidenziano una verit\u00e0 inquietante: l’uso negligente delle credenziali di autenticazione \u00e8 una minaccia tangibile.
I cybercriminali non perdono tempo a capitalizzare le password rubate, infiltrandosi in una variet\u00e0 di piattaforme online – dai siti di intrattenimento ai social media, fino ai portali di e-commerce. <\/p>\n\n\n\n

Molte violazioni dei dati personali sono strettamente collegate alle modalit\u00e0 di protezione delle password. Troppo spesso furti di identit\u00e0 sono causati dall\u2019utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.<\/p>\n\n\n\n

La ripetizione della stessa password su pi\u00f9 servizi online \u00e8 una pratica rischiosa che pu\u00f2 trasformare una singola violazione di sicurezza in un disastro a catena. Le conseguenze sono gravi: furto d’identit\u00e0, frodi finanziarie, e persino ricatti.<\/p>\n\n\n\n

L’obiettivo delle nuove linee guida \u00e8 chiaro: fornire raccomandazioni precise sulle funzioni crittografiche da adottare per la conservazione delle password, al fine di evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali.<\/p>\n\n\n\n

Queste raccomandazioni sono destinate a tutti coloro che detengono dati di accesso degli utenti, inclusi i gestori dell’identit\u00e0 digitale come SPID o CieID, i fornitori di servizi email, le banche, e molti altri. Le indicazioni si rivolgono anche ai soggetti che accedono a database di rilevante importanza o dimensioni, come i dipendenti delle pubbliche amministrazioni, oltre a professionisti che trattano dati sensibili o giudiziari come medici e avvocati. <\/p>\n\n\n\n

L’intento \u00e8 di blindare le credenziali di autenticazione, impedendo che finiscano nelle mani sbagliate.<\/p>\n\n\n\n

Le Linee Guida sottolineano l’importanza dell’uso di funzioni crittografiche robuste per il password hashing, un processo che trasforma una password in un formato sicuro, impedendo ai malintenzionati di sfruttare le password rubate. Il documento non si limita a identificare il problema, ma fornisce anche indicazioni e raccomandazioni sulle funzioni di hashing attualmente considerate pi\u00f9 sicure.<\/p>\n\n\n\n

L’introduzione del documento pone l’accento sulla necessit\u00e0 di misure tecniche e organizzative efficaci per garantire l’archiviazione, la conservazione e l’utilizzo sicuro delle password. <\/p>\n\n\n\n

Nell’ambito della sicurezza informatica, \u00e8 ormai notorio che gli archivi contenenti password siano divenuti obiettivi primari per gli aggressori digitali. Il furto di queste credenziali e la loro eventuale divulgazione su piattaforme online costituiscono una minaccia in ascesa, con ripercussioni che variano da semplici inconvenienti a disastri di vasta portata a livello finanziario e di riservatezza dei dati.<\/p>\n\n\n\n

I database di password sono sempre pi\u00f9 esposti a violazioni di sicurezza, i cosiddetti “data breach”, durante i quali i dati vengono non solo trafugati ma anche esposti al pubblico o utilizzati per orchestrate ulteriori attacchi informatici. \u00c8 fondamentale, pertanto, che le entit\u00e0 responsabili della custodia di tali informazioni adottino protocolli di sicurezza all’avanguardia e si attengano a pratiche di cyber igiene rigorose per prevenire compromissioni.<\/p>\n\n\n\n

In tale scenario si comprende l\u2019importanza che assume la\u00a0crittografia<\/strong>, proprio come mezzo di protezione delle passoword, prima e contrasto alla loro diffusione, poi.<\/p>\n\n\n\n

Nell’attuale scenario, in cui gli attacchi informatici sono all’ordine del giorno, queste Linee Guida rappresentano una risorsa preziosa per i gestori dei sistemi e dei servizi. <\/p>\n\n\n\n

Dalle piccole imprese alle grandi corporazioni, dalla sanit\u00e0 alle istituzioni finanziarie, tutti coloro che conservano dati personali hanno ora un punto di riferimento chiaro su come proteggere le credenziali dei propri utenti.<\/p>\n\n\n\n

Il dato \u00e8 crudo e parla chiaro: il 35,6% delle credenziali rubate viene utilizzato per violare siti di intrattenimento, il 21,9% per infiltrarsi nei social media e un ulteriore 21,2% nei portali di e-commerce. Questi numeri non sono solo statistiche fredde; rappresentano vite quotidiane intaccate da intrusioni non autorizzate che possono sfociare in perdite finanziarie, danni alla reputazione e violazioni della privacy.<\/p>\n\n\n\n

Ma il fenomeno non si arresta qui. I dati sottratti aprono le porte anche a forum e siti web di servizi a pagamento (18,8%) e, sebbene in misura minore ma non meno preoccupante, al mondo finanziario (1,3%). Quest’ultima percentuale, bench\u00e9 piccola, nasconde rischi enormi per la sicurezza economica degli individui.<\/p>\n\n\n\n

La situazione descritta dal Garante Privacy \u00e8 un campanello d’allarme per l’industria della sicurezza informatica e per gli utenti stessi. \u00c8 un invito a rivedere le proprie abitudini digitali, a rafforzare le misure di sicurezza e a prendere coscienza che ogni azione online pu\u00f2 essere vulnerabile.<\/p>\n\n\n\n

Le istituzioni fanno la loro parte con la creazione di linee guida e raccomandazioni, ma la responsabilit\u00e0 \u00e8 anche individuale. L’adozione di password complesse, l’utilizzo di autenticazione a pi\u00f9 fattori e la vigilanza costante sono passi fondamentali verso la costruzione di un ambiente digitale pi\u00f9 sicuro.<\/p>\n\n\n\n

La lotta contro il furto di credenziali non \u00e8 solo tecnologica, ma anche culturale e comportamentale. La consapevolezza \u00e8 il primo passo verso la protezione.<\/p>\n\n\n\n

La sfida \u00e8 notevole: le password sono spesso l’unico baluardo tra i dati sensibili degli utenti e il mondo esterno. Implementare le raccomandazioni delle Linee Guida non \u00e8 solo una questione di conformit\u00e0, ma un atto di responsabilit\u00e0 nei confronti della sicurezza digitale collettiva. Mentre il documento delle Linee Guida segna un passo avanti nel campo della sicurezza informatica, la strada verso un ambiente digitale completamente sicuro \u00e8 ancora lunga. <\/p>\n\n\n\n

Tuttavia, con l’adozione di queste pratiche avanzate, possiamo sperare in un futuro in cui i dati personali siano custoditi con la massima sicurezza possibile, riducendo significativamente il rischio di violazioni devastanti.<\/p>\n\n\n\n

Le nuove Linee Guida sulla sicurezza delle password rappresentano pi\u00f9 di un semplice manuale tecnico; sono un appello a migliorare gli standard di sicurezza nell’ambiente digitale. Questo documento invita tutte le parti interessate a unirsi per creare un internet pi\u00f9 sicuro, dove la privacy e la protezione dei dati siano assicurate a tutti i livelli. L’efficacia di queste linee guida dipende da un approccio complessivo alla sicurezza informatica che comprenda sia le strategie aziendali che le abitudini degli utenti.<\/p>\n\n\n\n

Solo attraverso la collaborazione tra enti regolatori, aziende e cittadini si pu\u00f2 sperare di tenere al passo con le sempre pi\u00f9 sofisticate strategie dei cybercriminali.<\/p>\n\n\n\n

Nel contesto della protezione dei dati digitali, il primo aspetto da valutare \u00e8 l’imprescindibile utilizzo di metodi di crittografia per la sicura conservazione delle password. \u00c8 essenziale adottare algoritmi crittografici robusti, che riducano il pericolo di intrusioni e rendano ardua la decifrazione delle password, anche se intercettate.<\/p>\n\n\n\n

Le normative e le raccomandazioni in materia di sicurezza informatica convergono sull’impiego delle tecniche di password hashing. Queste ultime evidenziano l’inadeguatezza delle pratiche che prevedono la memorizzazione e la conservazione di password in forma leggibile, senza alcuna cifratura, in quanto tali pratiche sono in contrasto con i fondamenti della sicurezza informatica.<\/p>\n\n\n\n

Diventa quindi indispensabile archiviare non la password stessa, ma il suo “digest”, ovvero un insieme di caratteri generato attraverso una funzione di hash applicata alla password originale. Questa procedura garantisce che, nell’eventualit\u00e0 di un accesso non autorizzato al database, l’aggressore possa entrare in possesso solamente dei digest, che sono intrinsecamente unidirezionali e, pertanto, non reversibili. Questo significa che l’inversione delle funzioni di hash \u00e8 talmente complessa da rendere estremamente improbabile il recupero delle password originali degli utenti.<\/p>\n\n\n\n

In qualit\u00e0 di consulente legale specializzato in cyber sicurezza, \u00e8 mio dovere sottolineare l’importanza di tali misure e assicurarmi che le organizzazioni implementino protocolli di crittografia adeguati, non solo per conformarsi alle normative vigenti ma anche per salvaguardare la fiducia e la sicurezza dei loro utenti.<\/p>\n\n\n\n

Il password hashing<\/strong><\/h3>\n\n\n\n

Nel contesto della protezione dei dati digitali, il primo aspetto da valutare \u00e8 l’imprescindibile utilizzo di metodi di crittografia per la sicura conservazione delle password. \u00c8 essenziale adottare algoritmi crittografici robusti, che riducano il pericolo di intrusioni e rendano ardua la decifrazione delle password, anche se intercettate.<\/p>\n\n\n\n

Le normative e le raccomandazioni in materia di sicurezza informatica convergono sull’impiego delle tecniche di password hashing. Queste ultime evidenziano l’inadeguatezza delle pratiche che prevedono la memorizzazione e la conservazione di password in forma leggibile, senza alcuna cifratura, in quanto tali pratiche sono in contrasto con i fondamenti della sicurezza informatica.<\/p>\n\n\n\n

Diventa quindi indispensabile archiviare non la password stessa, ma il suo “digest”, ovvero un insieme di caratteri generato attraverso una funzione di hash applicata alla password originale. Questa procedura garantisce che, nell’eventualit\u00e0 di un accesso non autorizzato al database, l’aggressore possa entrare in possesso solamente dei digest, che sono intrinsecamente unidirezionali e, pertanto, non reversibili. Questo significa che l’inversione delle funzioni di hash \u00e8 talmente complessa da rendere estremamente improbabile il recupero delle password originali degli utenti.<\/p>\n\n\n\n

Il “password hashing” \u00e8 un processo crittografico che trasforma una password in un insieme di caratteri apparentemente casuale, noto come hash. Questo processo \u00e8 unidirezionale, il che significa che \u00e8 praticamente impossibile risalire alla password originale partendo dal suo hash. Ecco un esempio concreto di come funziona il password hashing:<\/p>\n\n\n\n

Supponiamo di avere la password “Sicurezza123”. Utilizzando una funzione di hash come SHA-256 (Secure Hash Algorithm 256-bit), la password verr\u00e0 trasformata in un hash lungo e complesso. Ecco come potrebbe apparire l’hash della password “Sicurezza123”:<\/p>\n\n\n\n

SHA-256(\"Sicurezza123\") -> 6c884a414aa1ec2a3cfad1fa0f5a6a56d1b78c2a3a8f8e6e930d6d2e6e8c3be5<\/code><\/pre>\n\n\n\n
Ogni volta che inserisci “Sicurezza123” nella funzione di hash SHA-256, otterrai lo stesso risultato. Tuttavia, non esiste un modo semplice per capire che l’hash sopra corrisponde alla password “Sicurezza123” senza conoscere la password originale.<\/p>\n\n\n\n
Questo metodo \u00e8 ampiamente utilizzato per salvaguardare le password degli utenti nei database. Nel momento in cui un utente imposta o inserisce la propria password, il sistema calcola l’hash della password e lo confronta con l’hash salvato nel database. Se i due hash corrispondono, l’accesso \u00e8 consentito.<\/p>\n\n\n\n
Il vantaggio principale del password hashing \u00e8 che, anche se un malintenzionato dovesse ottenere accesso al database delle password, troverebbe solo gli hash e non le password vere e proprie, rendendo molto pi\u00f9 difficile per lui utilizzare tali informazioni per accedere agli account degli utenti.<\/p>\n\n\n\n
Gli altri rischi<\/h3>\n\n\n\n
Nonostante l’adozione di metodologie avanzate per la sicurezza delle informazioni, permangono criticit\u00e0 che richiedono un’attenta analisi per sviluppare strategie di mitigazione efficaci. In particolare, gli aggressori informatici possono adottare due approcci principali:<\/p>\n\n\n\n
Attacco di forza bruta:<\/strong>
Immagina di avere un mazzo di carte e di cercare un asso di cuori. Un attacco di forza bruta \u00e8 come girare una carta alla volta fino a trovare quella giusta. Nel mondo delle password, significa provare tante combinazioni possibili finch\u00e9 non si indovina quella esatta. \u00c8 come provare ogni chiave di un mazzo fino ad aprire una serratura.<\/p>\n\n\n\n
Attacco al dizionario:<\/strong>
Questo attacco \u00e8 come avere una lista delle carte pi\u00f9 popolari in un mazzo e controllare solo quelle per trovare l’asso di cuori, anzich\u00e9 tutte le carte. Se le persone scelgono spesso l’asso di cuori come loro “carta segreta”, sar\u00e0 pi\u00f9 facile trovarla. Per le password, significa provare parole comuni o frasi che la gente usa spesso, perch\u00e9 \u00e8 pi\u00f9 probabile che qualcuno abbia scelto quelle come password.<\/p>\n\n\n\n
Le “rainbow tables” sono come avere un libro che mostra ogni carta e a quale persona appartiene. Se trovi l’asso di cuori nel libro, sai subito chi ha scelto quella carta. Con le password, se hai una lista di password comuni e i loro hash, puoi velocemente vedere se qualcuno ha usato una di quelle password.<\/p>\n\n\n\n
Un ulteriore punto critico \u00e8 legato alla natura delle password scelte dagli utenti: se due o pi\u00f9 utenti utilizzano la stessa password, questo verr\u00e0 rivelato dall’identit\u00e0 dei digest nel database. Per questo motivo, \u00e8 vitale incoraggiare l’adozione di password uniche e complesse che resistano sia agli attacchi di forza bruta sia a quelli basati su dizionari.<\/p>\n\n\n\n
<\/p>\n\n\n\n
erare, poi, un aspetto fondamentale che riguarda la\u00a0tipologia di password impiegate dagli utenti:<\/strong>\u00a0chiunque venga in possesso della lista dei digest potr\u00e0 individuare le password uguali poich\u00e9 sar\u00e0 uguale anche il relativo digest.<\/p>\n\n\n\n
Le caratteristiche fondamentali che dovrebbero avere gli algoritmi per trasformare le password in codici sicuri<\/h2>\n\n\n\n
Gli algoritmi usati per rendere sicure le password devono soddisfare alcune condizioni importanti:<\/p>\n\n\n\n
    \n
  1. Devono essere veloci nel trasformare una password in un codice sicuro (chiamato “digest”), ma se qualcuno prova a fare questo processo tante volte per indovinare la password, dovrebbe diventare molto lento e difficile, cos\u00ec da scoraggiare i malintenzionati.<\/li>\n\n\n\n
  2. Devono usare abbastanza memoria del computer per fare in modo che, se qualcuno cerca di calcolare tanti codici sicuri tutti insieme, la memoria si riempia e rallenti tutto, rendendo l’attacco meno efficace.<\/li>\n<\/ol>\n\n\n\n
    In poche parole, questi algoritmi dovrebbero rendere semplice e veloce creare un codice sicuro per una singola password, ma se qualcuno cerca di farlo per molte password contemporaneamente, diventa molto complicato.<\/p>\n\n\n\n
    Inoltre, c’\u00e8 un consiglio specifico: usare codici sicuri pi\u00f9 lunghi. Questo aiuta a proteggere le password anche dagli attacchi dei futuri computer super potenti, chiamati computer quantistici.<\/p>\n\n\n\n
    Se una password viene comunque messa a rischio da un attacco, bisogna trovare il modo migliore per ridurre il pericolo che possa essere scoperta.<\/p>\n\n\n\n
    L\u2019uso di salt e pepper <\/h2>\n\n\n\n
    Per rendere una password pi\u00f9 difficile da scoprire, si pu\u00f2 aggiungere qualcosa chiamato “salt”, che \u00e8 un po’ come mettere un ingrediente segreto in una ricetta. Immagina di avere una ricetta per una torta, ma per ogni persona che la fa, aggiungi un ingrediente segreto diverso. Anche se qualcuno sa come \u00e8 fatta la torta, senza conoscere l’ingrediente segreto specifico per quella persona, non potr\u00e0 replicarla esattamente.<\/p>\n\n\n\n
    Il “salt” \u00e8 una serie di lettere e numeri casuali che si mescolano alla tua password prima di trasformarla in un codice che gli altri non possono capire (il digest). Poi, si salva questo salt insieme al codice, ma in un posto diverso.<\/p>\n\n\n\n
    Ecco perch\u00e9 il salt aiuta:<\/p>\n\n\n\n