L’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la protezione dei dati personali (GPDP) hanno adottato le “Linee Guida Funzioni Crittografiche Conservazione delle Password”, che contengono le raccomandazioni in merito alla conservazione delle password.
Il documento fornisce indicazioni sulle misure tecniche in grado di garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, proteggendo in modo efficace le password, conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi.
L’obiettivo è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).
L’adozione delle misure tecniche individuate nelle linee guida in materia di funzioni crittografiche per la conservazione delle password risulta necessaria, in particolare, laddove sia soddisfatta una o più delle seguenti condizioni:
- a) il trattamento riguarda le password di un numero significativo di utenti;
- b) il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
- c) il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento;
Il documento è così strutturato:
- capitolo 2 – introduce il concetto di password hashing, focalizzando l’attenzione sulle proprietà che le funzioni devono soddisfare e sui possibili attacchi a cui gli archivi di password possono essere soggetti;
- capitolo 3 – presenta nel dettaglio gli algoritmi più comuni utilizzati per il password hashing;
- capitolo 4 – fornisce le indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri.
Le Linee Guida, in corso di pubblicazione nella Gazzetta Ufficiale, sono consultabili sui siti web www.gpdp.it e www.acn.gov.it.
Per approfondire: Linee Guida Funzioni Crittografiche – Conservazione delle Password