Come sappiamo bene, la password compone un’aspetto determinante di ogni credenziale di autenticazione e sappiamo come ogni utente debba scegliere password univoche e complesse per ogni diverso strumento o servizio al quale acceda, e che le credenziali debbano essere assolutamente mantenute riservate.
In questo post, consideriamo oggi un diverso punto di vista: quello del fornitore di servizi digitali.
Quando un utente si registra, sappiamo che la normativa di protezione richiede di proteggere i dati personali del soggetto, adottando opportune misure di sicurezza.
Ebbene, come si conservano le credenziali utente, nello specifico la password?
Da tempo sappiamo che non è possibile registrare le password “in chiaro”, ma occorre – tramite funzioni crittografiche – registrare un hash che – semplificando – rappresenta la password in formato “cifrato” (si chiama digest); la funzione hash non dovrebbe essere invertibile (ritornare alla password in chiaro conoscendo l’hash).
Questa non invertibilità è estremamente importante per proteggere le password utente, specialmente nel malaugurato caso che il database sia coinvolto in una esfiltrazione, e quindi cada nelle mani di soggetti malevoli che potrebbero invertire l’hashing.
L’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la Protezione dei Dati Personali hanno messo a punto specifiche Linee guida Conservazione Password, fornendo importanti indicazioni sulle misure tecniche da adottare; a questa pagina la presentazione delle linee guida.
Ringraziamo personalmente ACN e GPDP per l’ottimo lavoro effettuato, che getterà sicuramente le basi per una migliore protezione di tali asset strategici (le credenziali utente), anche se noi pensiamo che presto dovremo cambiare modalità di autenticazione con procedure più sicure (le persone tendono ad usare password semplici da ricordare, e peraltro su piu sistemi IT).
Neanche l’adozione delle funzioni di SALT può compiere miracoli.
Chiediamo alle nostre aziende IT – ed ai loro amministratori di sistema – di prendere visione del documento contenente le linee guida, verificando le procedure attuate per la memorizzazione delle password delle credenziali di autenticazione nei propri sistemi informativi.
Oltretutto, riteniamo che si tratti di una misura necessaria – scaturente dal concetto di Privacy by Design introdotto nel 2018 dal GDPR – ed applicato ad ogni strumento di trattamento che memorizzi credenziali utente.
UPDATE: L’Autorità Garante ha pubblicato anche le FAQ relative ai soggetti tenuti all’applicazione delle linee guida per la conservazione delle passwords.