L’Autorità Garante per la protezione dei dati personali ha realizzato e pubblicato un nuovo vademecum che identifica le best practicies per creare e gestire – in modo sicuro – le passwords delle credenziali di autenticazione.
Sono proposte anche misure di doppia autenticazione, a nostro avviso con poca enfasi.
In sintesi, nulla di nuovo che non fosse già conosciuto a chi si occupa di sicurezza IT.
Ribadiamo come – in molti ambiti – la mera adozione di username+password (anche formata da 15 caratteri) non è più sufficiente a proteggere efficacemente la credenziale di autenticazione. Come sappiamo, esistono purtroppo vari database di passwords provenienti da databreach che consentono – agli attaccanti – di testare – con attività brute-force – le password reali adottate dagli utenti.
Inoltre, talvolta si evidenziano delle vulnerabilità nei componenti software (es. la recente backdoor xz-utils) che consentono di bypassare le credenziali, per cui è necessario adottare un ulteriore livello di protezione nelle autenticazioni.
Da ultimo, in relazione all’utilizzo dei cosiddetti “gestori di password”, abbiamo molte riserve sul loro utilizzo, preso atto che spesso risultano anch’essi affetti da vulnerabilità ed addirittura alcuni memorizzano le password – pur in forma cifrata – nel cloud del vendor.