Creazione e conservazione delle password

Ultimo aggiornamento: 6 Marzo 2024
Sei qui:
Tempo di lettura: 7 min

In questa prima vogliamo riassumere i suggerimenti e gli obblighi sulla creazione e sulla conservazione delle password in relazione al GDPR, ai requisiti minimi ICT, al NIST alle linee guida del garante per la protezione dei dati personali e dell’ACN.

Alcuni di questi consigli potrebbero sembrare controproducenti, invece fanno tutti riferimento al NIST.

SUGGERIMENTI per gestire al meglio le password

Come creo password efficaci?

  • Devono essere abbastanza lunghe, almeno 10 caratteri, ma consigliamo di creare delle frasi o unioni di parole casuali di almeno 16 caratteri, la password “ierihoincontratopippoplutoepaperino” è più sicura e molto più difficile da hackerare di “4ygr4&47;5&4c” e soprattutto molto più semplice da ricordare.
  • Le “regole di composizione”, minuscola+maiuscola+simbolo+numero, non vanno imposte, possono essere controproducenti, bisogna lasciare gli utenti liberi di creare password personali facili da ricordare per loro, ma non facili da hackerare. È noto, infatti che in questi casi il pattern statisticamente più utilizzato dagli utenti è: maiuscola all’inizio, numeri e caratteri speciali in fondo. Questo serve solo a dare indicazioni all’attaccante che potrà limitare il numero di tentativi, concentrando l’attacco brute force sulle password più probabilmente usate dagli utenti. I sistemi di brute force sono sempre più avanzati, la password “P@$$w0rd” rispetta tutti i canoni classici di sicurezza, ma ha lo stesso livello di complessità della semplice parola “password”.
  • Non devono esserci riferimenti personali facili da indovinare come nomi, cognomi, date di nascita ecc.
  • Non obbligare gli utenti normali a cambiare la password di frequente. Tralasciando gli amministratori, un utente comune obbligato a cambiare la password ogni 3 mesi utilizzerà password semplici, simili tra loro che spesso scriverà su un post-it sul PC come “Pippo03” dove ogni 3 mesi cambierà solo l’ultimo numero per rispettare i criteri in “Pippo06”, questo porta a tanti altri problemi di contorno come password dimenticate, post-it persi ecc. La password di un utente, se scelta intelligentemente, andrebbe cambiata solo quando si sospetta un furto.
  • Attivare e forzare sempre il 2 fattori ove possibile, quando si può meglio con un app authenticator invece dell’ SMS.
  • Creare una lista nera di password non utilizzabile, meglio se il sistema controlla in tempo reale la password inserita in vecchi data breach come haveibeenpwned e non permette di inserire una password già hackerata in passato.
  • Disabilitare suggerimenti e domande di sicurezza, possono essere trovate subito le risposte facendo un giro su facebook o Instagram.

Non devi per forza generare password casuali, per creare una password complessa, basta pensarci su, una frase lunga e facile da ricordare è più resistente e facile da digitare di una password casuale.

Resta inteso che questo discorso non vale per gli amministratori di sistema che in quanto tali devono seguire regole più stringenti avendo accesso sensibili ai sistemi. Per l’amministrazione dei sistemi possono essere molto più utili sistemi come le password One-Time che vengono generate per un singolo accesso, il 2FA sempre con Authenticator o dove possibile con passkey, FIDO ecc.

Come gestire bene le password?

  • Utilizza password diverse per account diversi, non utilizzare mai la stessa password per piu siti web, perchè hackerata la password su di un sito web questa poi può essere utilizzata per entrare in tutti i tuoi account.
  • Quando cambi la password inventane sempre una nuova, non riutilizzarne una utilizzata in passato.
  • Le password temporanee rilasciate dai siti web vanno cambiate subito.
  • Valuta l’utilizzo di un Password Manager per la gestione delle Password.

Può essere molto utile controllare se la propria mail o la propria password siano state hackerate in passato, puoi controllare sul sito https://haveibeenpwned.com/ inserendo la tua mail per vedere quando e su che sito la tua mail o la tua password sono state hackerate

Come posso rendere gli accessi più sicuri?

  • Utilizza sempre l’autenticazione a 2 fattori quando disponibile.
  • Fai attenzione alle domande di sicurezza per recuperare la password, quando puoi cerca sempre di evitarle e di inserire risposte che non abbiano a che fare realmente con la domanda per reimpostare le password con la mail… Anche mettendo una password di 50 caratteri ed attivando il 2 fattori se per reimpostare la password basta scrivere “Napoli” alla domanda “Qual’è la tua squadra del cuore?” comunque non si è al sicuro.

OBBLIGHI sulla conservazione delle password

Con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

Gli obblighi sono rivolti anche alle imprese che svolgono servizi ICT per imprese e pubbliche amministrazioni per cui devono conservare le password di accesso.

Tra questi figurano:

  • L’utilizzo di crittografia per la conservazione delle password, è vietato conservare le password in chiaro su di un file word, excel o txt ad esempio, vanno conservate in modo adeguato secondo le linee guida.
  • L’utilizzo di crittografia anche in presenza di 2FA o di vecchie password deprecate.
  • La conservazione delle password degli utenti solo per il tempo strettamente necessario.
  • ABSC 4 dei requisiti minimi ITC per le PA, i punti specifici dove si parla di password.
  • Cambio periodico delle password di amministrazione.

CONSIGLIAMO inoltre per le pubbliche amministrazioni e le aziende più grandi, di redigere adeguata documentazione in tal senso.

Misure alternative alla crittografia per la conservazione delle password

Laddove vengano invece adottate misure tecniche diverse da quelle individuate nelle citate linee guida, i titolari del trattamento, in ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche;

Come comportarsi in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione?

L’adozione delle misure tecniche raccomandate nelle linee guida, o di misure che garantiscono un analogo livello di sicurezza, consente di mitigare in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.

Come indicato anche nelle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (spec. caso n. 6), adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, tenuto conto di quanto previsto dall’art. 34, par. 3, lett. a), del Regolamento (UE) 2016/679, se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).

Misure tecniche adottate dal fornitore Clanto Services per la gestione e la conservazione delle password

Dato che la Clanto Services per espletare i proprio servizi verso imprese e pubbliche amministrazione potrebbe avere accesso a password di amministrazione dei sistemi ICT e degli utenti, di seguito le misure adottate per la conservazione delle password.

La società utilizza un proprio password manager per la conservazione delle password con algoritmi di cifratura in linea con le linee guida di ACN e GPDP.

Tutti i dipendenti del fornitore che devono poter effettuare l’accesso sono dotati di un proprio accesso al Password Manager con accessi vincolati all’effettiva esigenza.
Ogni dipendente è dotato una chiave di accesso hardware per gli accessi sensibili (passkey, FIDO ecc.)

Password personali di accesso:

Tipologia di passwordTipologia PasswordFrequenza cambio passwordConservazioneLogCancellazione
Password utenti (Google, Workspace, Microsoft 365, E-Mail, Dominio AD ecc.)– 10 caratteri alfanumerici casuali la password provvisoria.

– 14 caratteri minimi.

– 2FA consigliato per gli utenti e forzato per figure apicali.		– 180 giorni studenti
– 90 giorni docenti
– 90 giorni dipendenti
– 30 giorni amministratori		– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.

– All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti.		– Log del solo invio per le password provvisorie.

– Log di utilizzo all’interno dei vari sistemi utilizzati.		– Una volta inviata la password provvisoria, questa viene immediatamente eliminata dai nostri sistemi d’invio.

– Dal sistema utilizzato all’eliminazione dell’utente.
Password di amministrazione personali di apparati di rete (switch, firewall, controller ecc.)– almeno 32 caratteri alfanumerici casuali (oppure il massimo dei caratteri consentiti su sistemi legacy)
– 2FA attivo di default ove possibile
– 2FA predefinito su chiave hardware o passkey ove possibile		– 30 giorni amministratori ove impostabile– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.

– All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti.		Log di utilizzo dell’applicativo utilizzato– Non appena l’apparato non è piu utilizzato.

– Dal sistema utilizzato all’eliminazione dell’utente.

– Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto).
Password di amministrazione personali piattaforme e server (Google, Microsoft, Clanto, Dominio AD ecc.)– almeno 32 caratteri alfanumerici
– 2FA attivo di default ove possibile
– 2FA predefinito su chiave hardware o passkey ove possibile.		– 30 giorni amministratori ove impostabile– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.

– All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti.		Log di utilizzo dell’applicativo utilizzato– Non appena l’apparato non è piu utilizzato.

– Dal sistema utilizzato all’eliminazione dell’utente.

– Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto).

Password generiche di accesso qualora non fosse possibile generare delle credenziali per dipendente:

Tipologia di passwordTipologia PasswordFrequenza cambio passwordConservazioneLogCancellazione
Password di amministrazione generali di apparati di rete (switch, firewall, controller ecc.)– almeno 32 caratteri alfanumerici casuali (oppure il massimo dei caratteri consentiti su sistemi legacy)
– 2FA attivo di default ove possibile
– 2FA predefinito su chiave hardware o passkey ove possibile		– 30 giorni ove impostabile– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.

– All’interno dell’archivio dedicato al cliente, compresi 2FA e password deprecate.		Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate.		– Non appena l’apparato non è piu utilizzato.

– Dal sistema utilizzato all’eliminazione dell’utente.

– Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto).
Password di amministrazione piattaforme e server (Google, Microsoft, Clanto, Dominio AD ecc.)– almeno 32 caratteri alfanumerici
– 2FA attivo di default (ove possibile i nostri tecnici sono sempre dotati di autenticazione hardware)		– 30 giorni ove impostabile– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.

– All’interno dell’archivio dedicato al cliente, compresi 2FA e password deprecate.		Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate.		– Non appena la piattaforma non è piu utilizzata.

– Dal sistema utilizzato all’eliminazione dell’utente.

– Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto).
Password One-Time-Use di amministazione client (Microsoft AD ecc.)– almeno 10 caratteri alfanumerici casuali auto generate– Singolo utilizzo, non riutilizzabile– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.Dopo il suo utilizzo.

Tutti i nostri sistemi impediscono l’utilizzo di password compromesse andando ad analizzare in tempo reale l’hash della password con gli archivi di password compromesse di haveibeenpwned prima di salvare la password.
Tutti i sistemi Microsoft e Google sono impostati per evitare l’utilizzo di password compromesse in passato.

Link utili

Password tester Bitwarden:
https://bitwarden.com/password-strength/

Sono stato hackerato?
https://haveibeenpwned.com/

Linee guida del garante sulle password:
https://www.garanteprivacy.it/temi/cybersecurity/password

Linee guida del garante sulla conservazione delle password:
https://gpdp.it/temi/cybersecurity/password/conservazione-delle-password

Suggerimenti per creare e gestire le password:
https://www.garanteprivacy.it/documents/10160/0/Suggerimenti+per+creare+e+gestire+password+a+prova+di+privacy.pdf/3af66017-7a4a-4a18-895e-ce94e2522cee?version=10.0

Linee guida crittografia e conservazione delle password:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962283

Misure Minime di Sicurezza ICT per le PA:
https://cert-agid.gov.it/download/MM.odt

Linee guida NIST 800-63:
https://pages.nist.gov/800-63-3/sp800-63-3.html

L'articolo è stato d'aiuto?
Non mi Piace 0 1 di 1 hanno trovato questo articolo d'aiuto.
Visualizzazioni: 35