L’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali hanno redatto congiuntamente, tra le altre, specifiche linee guida, in fase di pubblicazione nella Gazzetta Ufficiale, relative alla conservazione delle password, fornendo indicazioni importanti circa le misure tecniche da adottare in ogni Organizzazione al fine di aumentare il livello di sicurezza. Facciamo il punto.
Indice degli argomenti
Conservazione delle password: le linee guida di Garante e ACN
Grazie all’intesa collaborativa tra le due autorità si hanno oggi delle linee guida che spiegano come conservare adeguatamente le password.
Un richiamo a tale documento è esplicitato nel provvedimento del 7 dicembre 2023. Si tratta di un documento che costituisce parte delle Linee Guida Funzioni Crittografiche, elaborato dall’ACN d’accordo con il Garante privacy.
Esso contiene delle raccomandazioni su come conservare le password, in considerazione delle attuali minacce. Naturalmente, trattandosi di indicazioni caldamente raccomandabili, queste potranno/dovranno essere utilizzate con specifici adattamenti, a seconda dei singoli contesti di riferimento.
L’obiettivo delle linee guida sulla conservazione delle password
L’obiettivo di queste linee guida è chiaro: innalzare il livello di sicurezza, sia dei fornitori di servizi digitali che dei software developers. Molte delle violazioni di dati personali cd data breach, infatti, sono (troppo) spesso collegate a scarse modalità di protezione delle password.
Ecco che, anche alla luce di recenti importanti attacchi, si rendono utili se non anche necessarie “raccomandazioni sulle funzioni crittografiche” in ordine alla conservazione delle password onde evitare che credenziali di autenticazione (come username e password) siano, in alternativa:
- violate e messe online;
- utilizzate per:
- furti di identità;
- richieste di riscatto;
- altri tipi di attacchi come ransomware.
Non è un caso, infatti, che la maggior parte dei furti di identità sia causata dall’utilizzo di credenziali di autenticazione informatica, per di più archiviate in database non adeguatamente protetti con funzioni crittografiche.
In pratica, si possono avere password sicure con la crittografia.
L’indagine tra gli studi di settore
Il Garante, nel predetto provvedimento, richiama alcuni studi di settore con riferimento ai quali viene svolta un’indagine da cui emerge come “il furto di username e password vengano il più delle volte utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%), nei portali di e-commerce (21,2%), oppure a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%)”; e tanto basta.
A chi si rivolgono
Devono adottare tali linee guida tutte le organizzazioni (imprese e pubbliche amministrazioni – PA) nella misura in cui queste, agiscano sia come titolari che come responsabili del trattamento, e per l’effetto, conservino delle password.
Si pensi alla pletora di gestori di identità digitale come Spid o CieID, o delle PEC, dei servizi di posta elettronica, ma anche banche, assicurazioni, operatori telefonici, strutture sanitarie, e tutti coloro che accedono a banche dati critiche come quelle delle pubbliche amministrazioni.
Tutti soggetti che, in pratica, hanno a che fare con la tematica in questione e che sono chiamati a dover conservare adeguatamente e correttamente le password dei propri utenti, garantendo per quanto a loro possibile che non siano in alcun modo vulnerate.
La protezione dei dati
In punto protezione dati, la conservazione delle password degli utenti è un trattamento dati purché riguardino password: “di un numero significativo di utenti (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie ecc.); di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni); di specifiche tipologie di utenti che, in modo sistematico, trattino, con l’ausilio di sistemi informatici, dati personali appartenenti a categorie particolari di interessati, o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (es. professionisti sanitari, avvocati, magistrati)”.
Conservazione delle password: struttura e ratio delle linee guida
Analizziamo ora gli elementi principali delle Linee Guida, partendo dalla relativa struttura.
La struttura
Le Linee Guida per la conservazione delle password presentano quattro paragrafi che vanno dall’introduzione alle conclusioni sviluppando sostanzialmente tre aspetti, e in particolare:
- il concetto di password hashing;
- i principali algoritmi, i più utilizzati per il password hashing nonché le indicazioni su cui gli algoritmi sono raccomandati e rispettivi parametri.
La ratio
La ragione di queste Linee guida è facilmente intuibile nonché rinvenibile nella necessità di creare un documento descrittivo che indichi cosa fare e per contro non fare al fine di irrobustire il livello di sicurezza.
Evidentemente creare password in sequenza (1,2,3,4… ecc.) è segno di scarsa consapevolezza.
A ciò si aggiunge, la gestione delle password all’interno di database non protetti nel senso di non crittografati.
Conservazione delle password: gli elementi principali delle linee guida
Analizziamo ora gli elementi principali delle linee guida in parola.
Password Hashing
Al paragrafo 2 delle Linee guida troviamo il cd “password Hashing” che rievoca la funzione di hash ricordandola come quella che produce una sequenza di bit ovvero una stringa, detta “digest”, correlata a dati in ingresso.
Per definizione, una delle proprietà della funzione di hash in specie crittografica risiede nell’essere “one-way” vale a dire “una via” nel senso di non invertibile.
Tale caratteristica rende, più in generale, le funzioni di hash particolarmente adatte alla conservazione delle password: anziché memorizzare in archivio password in chiaro, grazie all’uso della funzione in parola è consentito di salvare il loro digest.
Tuttavia, questo sistema potrebbe non bastare, ben potendo “procedere per forza bruta, cioè calcolando l’hash di password casuali fino a trovare una corrispondenza”. In pratica numerosi tentativi e combinazioni fino a quando non si riescono a trovare.
Ecco, dunque, che le Linee Guida se da un lato consigliano l’utilizzo di algoritmi di password hashing, dall’altro caldeggiano l’aggiunta di un salt o di un pepper ad ogni password e cioè:
- il salt quale stringa di bit casuali, viene concatenata alla password prima del calcolo del digest e poi salvata in chiaro insieme al digest della password dell’utente;
- il pepper, al contrario del salt, può essere lo stesso per tutte le password nell’archivio, ma da tenersi assolutamente segreto e utilizzato come chiave di un “HMAC” quale modalità per l’autenticazione (a due fattori) di messaggi cd “message authentication code” basata su una funzione di hash.
I principali algoritmi
Il principale algoritmo che viene utilizzato per il password hashing è quello cd “di derivazione della chiave”.
Si tratta di funzioni concepite per ottenere una o più chiavi segrete a partire da un valore iniziale segreto detto master key.
Queste sono spesso configurabili a seconda delle necessità rispetto a tutte o ad alcune tra le seguenti caratteristiche e in particolare letteralmente: “il costo computazionale, solitamente rappresentato dal numero di iterazioni di una funzione dell’algoritmo che, se aumentato, ne rallenta l’esecuzione; la memoria utilizzata, ovvero la memoria massima necessaria per eseguire l’algoritmo; la possibilità di parallelizzazione, in quanto l’algoritmo potrebbe essere suddiviso in più parti l’una indipendente dall’altra e quindi eseguibili simultaneamente”.
Ancora, le capacità computazionali utilizzate dai sistemi di decrittazione hanno indotto i crittografi ad implementare ulteriormente gli algoritmi di cifratura.
Al riguardo, come si ha modo di leggere nelle Linee guida, per l’utilizzo in ambito di password hashing quattro sono le funzioni più diffuse e sicure:
- Password Based Key Derivation Function 2 – PBKDF2
- Scrypt
- Argon2
- Bcrypt
Vediamole, in breve, nella tabella che segue.
PASSWORD HASHING | |||
Password Based Key Derivation Function 2 (PBKDF2) | funzione di derivazione di chiave | Con stringa generata da blocchi formati dalla concatenazione del salt con il contatore convertito in binario da 32 bit. | |
Scrypt | Nuovo parametro personalizzabile per rendere l’algoritmo più sicuro. | ||
Argon2 | Progettata per massimizzare il costo degli attacchi alle password effettuati con macchine ASIC grazie alla quantità personalizzabile di memoria necessaria durante la sua computazione. | ||
Bcrypt | funzione di password hashing | Cifrario a blocchi, con lo scopo di creare un algoritmo key schedule con alti requisiti computazionali. | |
Conservazione delle password: la crittografia come importante tecnica
La crittografia è una tecnica di cifratura che permette il passaggio di dati da una modalità in chiaro (non cifrata) a una nascosta (crittografata). Si tratta di un primo fondamentale passaggio in grado di assicurare un livello di protezione efficace e duraturo.
La crittografia rappresenta peraltro uno strumento di difesa; ecco perché costituisce una delle raccomandazioni chiave delle Linee guida rappresentando un approccio avanzato che da un lato aumenta la sicurezza delle informazioni, e dall’altro contribuisce a costruire una maggiore fiducia tra utenti e fornitori di servizi.
Strategie di sicurezza digitale: il ruolo cruciale delle password
In un’epoca in cui la sicurezza digitale è di fondamentale importanza, le password rappresentano la prima linea di difesa nella protezione della vita digitale delle persone.
Per rafforzare questa difesa, l’ACN e il Garante hanno proprio sviluppato queste linee guida, mirando a elevare il livello di sicurezza sia per i fornitori di servizi digitali che per gli sviluppatori di software, offrendo indicazioni essenziali sulle misure tecniche da adottare.
Password deboli espongono agli attacchi informatici
Con password deboli si intendono quelle “chiavi segrete” ripetute e riutilizzate per più servizi online, e sempre le stesse.
Un tale modus operandi apre a voragini, in termini di problemi/buchi nella sicurezza informatica con un aumento esponenziale del rischio di compromissione delle credenziali di accesso e quindi accessi non autorizzati.
Conclusioni
Se nello specifico, le linee guida in parola approdano a conclusioni come l’uso di un salt sia condizione obbligatoria per qualsiasi algoritmo di password hashing come visto, più in generale, possiamo concludere che la prevenzione sia un pilastro della sicurezza informatica e le password un elemento chiave di questa dimensione strategica.
Di qui, necessitano standard elevati per la conservazione sicura delle password, riducendo il più possibile il rischio di violazioni e i furti di dati.
Una collaborazione tra ACN e Garante Privacy, quindi, è essenziale per (avere) un ambiente digitale più sicuro. Non è un caso che molti dei data breach siano direttamente legati a modalità di protezione delle password per nulla robuste.
Perciò riteniamo che l’adozione delle linee guida avrà un impatto significativo sull’intera e massiccia sicurezza dei dati, anche a livello nazionale.
