La sicurezza informatica sta diventando una priorità per molte aziende e organizzazioni. Con la digitalizzazione di tante operazioni, è oggi imperativo garantire la sicurezza dei dati degli utenti.
Proprio per questo motivo, il Garante Privacy e l’Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle linee guida specifiche in materia di conservazione delle password. Le linee guida, che contengono indicazioni sulle misure tecniche da adottare, si rivolgono a tutte le imprese e le amministrazioni che conservano le password degli utenti sui propri sistemi, a soggetti che accedono a banche dati di particolare rilevanza e a utenti che trattano dati sensibili o giudiziari. Puoi consultarle a questo link.
Le Linee guida del Garante e dell’ACN si presentano come un testo molto tecnico. Tuttavia, la raccomandazione principale è quella di utilizzare un algoritmo di password hashing per aumentare la sicurezza informatica e ridurre il rischio di attacchi.
Il password hashing è il processo di conversione di una password in una stringa di lunghezza fissa (detta digest) quasi impossibile da invertire. Il processo avviene utilizzando un apposito algoritmo di hashing, che quindi trasforma un testo leggibile in una stringa di caratteri completamente diversa.
Per aumentare la sicurezza dell’hashing, è possibile aggiungere due ulteriori elementi:
Immagina che la tua password sia l’ingrediente segreto di una ricetta. Il password hashing trasforma l’ingrediente in una versione criptata, quasi impossibile da indovinare. Poi, ogni volta che ripeti la ricetta, aggiungi un ingrediente unico sempre nuovo, ottenendo diversi risultati: quello è il salt. Il pepper invece è un ingrediente comune a tutte le ricette, ancora più segreto della tua password: lo conosci solo tu e lo conservi in un posto ancora più sicuro.
Nonostante l’hashing aumenti la sicurezza, non è però sempre immune da data breach, ossia dalle violazioni dei dati da parte di hacker e cyber criminali. In particolare, se un hacker riesce a risalire alle coppie digest-utente, potrà poi procedere per forza bruta e quindi calcolare password casuali fino a trovare una corrispondenza. Questo è possibile perché molti utenti utilizzano password banali o di senso compiuto, che rendono più facile la violazione. Ecco perché è importante scegliere un algoritmo di password hashing che ostacoli queste azioni.
Nel scegliere un algoritmo adatto, bisogna tener conto di due requisiti essenziali:
Le linee guida del Garante e dell’ACN presentano diversi tipi di algoritmi. Qui di seguito riportiamo i tre algoritmi maggiormente consigliati:
Come abbiamo detto, la sicurezza dei dati è un aspetto fondamentale, ma deve andare di pari passo anche con l’adeguamento alle normative sulla privacy.
Infatti, oltre a tenere i dati dei tuoi utenti al sicuro, devi anche assicurare loro di poter esercitare i diritti che il GDPR garantisce, come il diritto di richiedere la cancellazione dei propri dati o quello di opporsi al trattamento.
Inoltre, essere attenti alla protezione dei dati può anche diventare un vantaggio economico e un punto di forza. Ad esempio, sapevi che il 57% degli utenti è più propenso a utilizzare un sito web se è presente un’attestazione di conformità al GDPR?
Noi di iubenda ci occupiamo di protezione dei dati da anni e, oltre ad aver sviluppato un prodotto che aiuta siti web e app ad adeguarsi a numerose legislazioni sulla privacy, pubblichiamo e aggiorniamo costantemente guide per aiutarvi nel vostro processo di compliance.
Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.