Sono disponibili sul sito dell’Autorità Garante per la protezione dei dati personali, le FAQ
elaborate sulle Linee Guida in materia di conservazione delle password.
Nel dicembre 2023, l’Autorità Garante per la protezione dei dati personali e l’Agenzia per la Cybersicurezza Nazionale (ACN) hanno messo appunto il documento denominato “Linee Guida – Funzioni Crittografiche”, che contiene raccomandazioni in merito alla conservazione delle password.
L’obiettivo è quello di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software e fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. Le recentissime FAQ rappresentano uno strumento utile per meglio comprendere la portata delle Linee Guida in questione.
Come noto, la gestione delle password è un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali. La sua sicurezza dipende da diversi fattori, strettamente collegati alle modalità di protezione per esse adottate.
Da una parte, vi è la condotta dell’utente. Ad esempio, la diffusa abitudine di utilizzare la stessa password per l’accesso a diversi servizi online espone l’utente a gravi rischi; nel caso di compromissione della password, l’accesso non autorizzato coinvolgerebbe tutti i servizi accessibili, e non solo quello compromesso.
Inoltre, l’accesso non autorizzato alle nostre credenziali è spesso causato dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.
Le FAQ si occupano anzitutto di indicare chi siano i destinatari delle Linee Guida, ossia tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici.
L’adozione delle misure tecniche raccomandate di protezione delle password, che si rende necessaria qualora sia soddisfatta almeno una di tre specifiche condizioni, è rivolta a una lunga serie di soggetti, espressamente individuati, seppur in modo non esaustivo.
Le FAQ precisano che le Linee Guida si applicano alla cronologia delle password (c.d. password history) e anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication) Si pensi al codice OTP – One Time Password– consegnata via SMS) o all’impronta digitale o il riconoscimento facciale.
Le password possono essere conservate anche per garantire la sicurezza delle procedure di autenticazione informatica, ad esempio per impedire il riuso da parte dell’utente delle precedenti password (c.d. password history) o per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente (copie di backup).