Password sicure, con la crittografia: le linee guida ACN-Garante privacy
2023-12-12 19:31:38 Author: www.cybersecurity360.it(查看原文) 阅读量:9 收藏

le istruzioni

L’iniziativa congiunta dell’Agenzia per la cybersicurezza nazionale (ACN) e del Garante per la protezione dei dati personali, centrata sull’importanza della crittografia. Le linee guida si rivolgono a tutte quelle imprese e amministrazioni che, in qualità di titolari o responsabili del trattamento dei dati, conservano sulle proprie piattaforme le password degli utenti

Pubblicato il 12 Dic 2023

Un’azienda o una PA che custodisce male i dati a lei affidati da clienti, cittadini si macchia di una responsabilità enorme.

Ecco perché arriva opportuna l’iniziativa congiunta dell’Agenzia per la cybersicurezza nazionale (ACN) e del Garante per la protezione dei dati personali, centrata sull’importanza della crittografia.

Hanno creato specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni ad aziende e PA sulle misure tecniche da adottare per rendere l’ecosistema digitale più sicuro.

Come scegliere una password sicura, difficile da indovinare: tutti i consigli degli esperti

Il problema delle password deboli

“Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password”, si legge nella nota congiunta.

È noto che molte violazioni dei dati personali sono strettamente legate alle modalità di salvaguardia delle password. Il problema non risiede solo nel fatto che gli utenti spesso non sanno come generare e custodire password sicure – si pensi al fatto che termini come “password” e sequenze come “123456” sono tra le più utilizzate in Italia e nel mondo; la questione è anche che le password non sono conservate in database non adeguatamente difesi attraverso funzioni crittografiche.

eXtended Detection & Response: scopri le novità in tema Security

L’imperizia degli utenti raddoppia poi il problema. Il riutilizzo della password è pratica pericolosa. E’ stato proprio così che i criminali hanno violato gli account degli utenti di 23AndMe nei giorni scorsi: hanno provato le varie password sottratte in passato in vari modi (presenti in molti database acquistabili). Caso rilevante anche perché a essere esposte sono state informazioni di terzi, oltre che quelle dei titolari dell’account. Le ricerche genetiche infatti portano a collegamenti con i dati dei parenti dell’utente. Alla fine sono stati esposti così dati di 6,9 milioni di persone.

La società ora impone la doppia autenticazione sulle password, pratica che non è ancora abbastanza diffusa.

I dati sottratti vengono poi impiegati per accedere illecitamente a siti di intrattenimento (35,6%), social media (21,9%) e portali di e-commerce (21,2%). In altri casi, consentono l’accesso a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Secondo un rapporto di Verizon del 2023, le password sono state la causa del 80% degli attacchi informatici.

Bene sempre rimarcare che un data breach crea responsabilità anche nei confronti di terzi; rivela le loro informazioni che abbiamo custodito in modo insufficiente, nella nostra mail o in un qualsiasi account o – nel caso delle aziende – server, database. Responsabilità che possono poi tradursi in danni reputazionali e (ulteriori) economici davanti a un giudice. 

A chi si rivolgono le linee guida ACN-Garante privacy

Le Linee Guida pertanto si rivolgono quindi a tutte quelle imprese e amministrazioni che, in qualità di titolari o responsabili del trattamento dei dati, conservano sulle proprie piattaforme le password degli utenti.

Queste ultime riguardano un vasto numero di soggetti interessati (ad esempio gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), individui che accedono a database di particolare importanza o dimensione (ad esempio dipendenti di pubbliche amministrazioni), oppure categorie di utenti che trattano abitualmente dati sensibili o giudiziari (ad esempio professionisti sanitari, avvocati, magistrati).

Questo rappresenta uno dei compiti fondamentali dell’Agenzia per la cybersicurezza nazionale, che incoraggia l’uso della crittografia come strumento di cybersicurezza in grado di garantire un livello di protezione efficace e duraturo.

L’importanza della crittografia

L’obiettivo, in linea con le misure previste dalla Strategia nazionale di cybersicurezza e con le indicazioni della normativa nazionale ed europea, è promuovere l’utilizzo di crittografia commerciale lungo tutto il ciclo vitale dei sistemi e servizi ICT, nel rispetto dei principi della sicurezza e della tutela della privacy.

Nell’ambito del piano di implementazione della Strategia Nazionale di Cybersicurezza, la Divisione Scrutinio Tecnologico, Crittografia e Nuove Tecnologie del Servizio di Certificazione e Vigilanza ha reso pubblici i primi tre documenti della serie “Linee Guida Funzioni Crittografiche”. Queste pubblicazioni includono le raccomandazioni dell’ACN nei vari settori della crittografia, con l’intento di fornire consigli e supporto in diversi scenari crittografici, affrontando sia aspetti teorici che applicativi.

Il documento delle linee guida presenta la seguente struttura, dopo un capitolo introduttivo, nel capitolo 2 si introduce il concetto di password hashing, focalizzando l’attenzione sulle proprietà che le funzioni devono soddisfare e sui possibili attacchi a cui gli archivi di password possono essere soggetti; nel capitolo 3 si presentano nel dettaglio gli algoritmi più comuni
utilizzati per il password hashing. Infine, nel capitolo 4 vengono fornite le indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri.

“La redazione delle linee guida in materia di conservazione delle password è un’iniziativa di indubbia utilità alla luce delle troppe violazioni che stiamo osservando e delle relative cause.
La conservazione delle password è un fattore importante nella mitigazione degli attacchi alle imprese”, commenta Pierluigi Paganini, noto esperto cyber.

“Le password rappresentano solo la prima linea di difesa delle imprese contro gli attaccanti, password non gestite opportunamente possono consentire ad attaccanti di accedere facilmente ai sistemi e ai dati delle organizzazioni”.
“La buona notizia è che molte delle amministrazioni che in qualità di titolari o responsabili del trattamento conservano sui propri sistemi le password degli utenti adottando best practice in materia di conservazione di informazioni sensibili”.
“Molto importante, a mio giudizio, l’adozione delle linee guida da parte di coloro che a diverso titolo accedono a banche dati di particolare rilevanza o dimensioni”, continua Paganini.

Oltre le password: i consigli Nist

“Si tratta comunque di un primo passo, cui dovrebbe seguire una più ampia e profonda trattazione dei meccanismi di autenticazione. Le password non sono l’unico metodo di autenticazione disponibile”.
“La pubblicazione Special Publication 800-63B dell’agenzia statunitense National Institute of Standards and Technology (NIST) su Digital Identity Guidelines e Authentication and Lifecycle Management è sicuramente un documento di cui considero un’attenta lettura“, dice Paganini.

Sicurezza delle password: le nuove regole del NIST per renderle inattaccabili

Backup & disaster recovery: come garantire un riavvio efficace dell'infrastruttura IT

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/soluzioni-aziendali/password-sicure-con-la-crittografia-le-linee-guida-acn-garante-privacy/
如有侵权请联系:admin#unsafe.sh