Suggerimenti creazione e gestione passwords

L’Autorità Garante per la protezione dei dati personali ha realizzato e pubblicato un nuovo vademecum che identifica le best practices per creare e gestire – in modo sicuro – le passwords delle credenziali di autenticazione.

Sono proposte anche misure di doppia autenticazione, a nostro avviso con poca enfasi.

Il vademecum è disponibile alla apposita pagina; In sintesi, nulla di nuovo che non fosse già conosciuto a chi si occupa di sicurezza ICT.

Ribadiamo come – in molti ambiti – la mera adozione di username+password (anche qualora costituita da 15 caratteri) non è più sufficiente a proteggere efficacemente la credenziale di autenticazione. Come sappiamo, esistono purtroppo vari database di passwords provenienti da databreach che consentono – agli attaccanti – di testare – con attività brute-force – le password reali adottate dagli utenti.

Inoltre, talvolta si evidenziano delle vulnerabilità nei componenti software (es. la recente backdoor xz-utils) che consentono di bypassare le credenziali, per cui è necessario adottare un ulteriore livello di protezione nelle autenticazioni.

Da ultimo, in relazione all’utilizzo dei cosiddetti “gestori di password”, abbiamo molte riserve sul loro utilizzo, preso atto che spesso risultano anch’essi affetti da vulnerabilità ed addirittura alcuni memorizzano le password – pur in forma cifrata – nel cloud del vendor.