Obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, così da evitare che le credenziali di autenticazione username e password possano venire violate e finire nelle mani di cybercriminali.
Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale . proprio con lo scopo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, l’Agenzia per la cybersicurezza nazionale ACN e il Garante per la protezione dei dati personali hanno elaborato specifiche linee guida in materia di conservazione delle password , dando indicazioni importanti sulle misure tecniche da adottare. Infatti, come sottolinea il Garante nel comunicato a riguardo, sono molte le violazioni dei dati personali collegate alle modalità di protezione delle password. Spesso i furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche . Tali attacchi informatici fanno leva sulla prassi adottata dagli utenti di utilizzare la stessa password per l’accesso ad una molteplicità di servizi online, con il risultato che la compromissione delle credenziali di autenticazione di un servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Si legge nell’introduzione al documento delle Linee Guida che la gestione delle password è un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali dunque, i gestori dei sistemi e servizi devono prevedere misure tecniche e organizzative efficaci per l’archiviazione, la conservazione e l’utilizzo delle password . Gli archivi in cui sono conservate le password sempre più di frequente finiscono nelle mani di soggetti esterni in conseguenza di attacchi informatici per poi essere pubblicati online o utilizzati per altri attacchi. Per questi motivi è estremamente raccomandato l’utilizzo di robuste funzioni crittografiche di password hashing e il documento delle Linee Guida ha l’obiettivo di fornire indicazioni e raccomandazioni sulle funzioni attualmente più sicure. Si presenta così suddiviso Introduzione del concetto di password hashing, con focus sulle proprietà che le funzioni devono soddisfare e sui possibili attacchi a cui gli archivi di password possono essere soggetti Presentazione nel dettaglio degli algoritmi più comuni utilizzati per il password hashing Indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri. Sempre nella nota stampa del Garante Privacy si legge come studi di settore dimostrino che il furto di username e password consente ai cybercriminali di commettere molte frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento 35,6% , nei social media 21,9% e nei portali di e-commerce 21,2% . In altri casi, permettono di accedere a forum e siti web di servizi a pagamento 18,8% e finanziari 1,3% . Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, come titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, che si riferiscono a un numero elevato di interessati es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc. , a soggetti che accedono a banche dati di particolare rilevanza o dimensioni es. dipendenti di pubbliche amministrazioni , oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari es. professionisti sanitari, avvocati, magistrati . Le Linee Guida sono consultabili sui siti web www.gpdp.it e www.acn.gov.it .