Documentazione

Indice dei contenuti

Cybersecurity: il Garante e ACN pubblicano linee guida per la conservazione delle password

La sicurezza informatica sta diventando una priorità per molte aziende e organizzazioni. Con la digitalizzazione di tante operazioni, è oggi imperativo garantire la sicurezza dei dati degli utenti.

Proprio per questo motivo, il Garante Privacy e l’Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle linee guida specifiche in materia di conservazione delle password. Le linee guida, che contengono indicazioni sulle misure tecniche da adottare, si rivolgono a tutte le imprese e le amministrazioni che conservano le password degli utenti sui propri sistemi, a soggetti che accedono a banche dati di particolare rilevanza e a utenti che trattano dati sensibili o giudiziari. Puoi consultarle a questo link.

I punti chiave delle Linee guida

Le Linee guida del Garante e dell’ACN si presentano come un testo molto tecnico. Tuttavia, la raccomandazione principale è quella di utilizzare un algoritmo di password hashing per aumentare la sicurezza informatica e ridurre il rischio di attacchi.

Cos’è il password hashing?

Il password hashing è il processo di conversione di una password in una stringa di lunghezza fissa (detta digest) quasi impossibile da invertire. Il processo avviene utilizzando un apposito algoritmo di hashing, che quindi trasforma un testo leggibile in una stringa di caratteri completamente diversa.

Per aumentare la sicurezza dell’hashing, è possibile aggiungere due ulteriori elementi:

  • Salt: il salt (“sale”) è un elemento che gli algoritmi di hashing possono aggiungere alla stringa per aumentarne la complessità. Si tratta di una stringa casuale che viene aggiunta alla password prima del processo di hashing ed è unica per ogni password. In questo modo, anche due password uguali vengono differenziate.
  • Pepper: anche il pepper (“pepe”) è una stringa che viene aggiunta alla password prima del processo di hashing, ma a differenza del salt è unica per tutto il database delle password e viene utilizzata come chiave segreta aggiuntiva.
In altre parole…

Immagina che la tua password sia l’ingrediente segreto di una ricetta. Il password hashing trasforma l’ingrediente in una versione criptata, quasi impossibile da indovinare. Poi, ogni volta che ripeti la ricetta, aggiungi un ingrediente unico sempre nuovo, ottenendo diversi risultati: quello è il salt. Il pepper invece è un ingrediente comune a tutte le ricette, ancora più segreto della tua password: lo conosci solo tu e lo conservi in un posto ancora più sicuro.

Crediti: Fastweb

Nonostante l’hashing aumenti la sicurezza, non è però sempre immune da data breach, ossia dalle violazioni dei dati da parte di hacker e cyber criminali. In particolare, se un hacker riesce a risalire alle coppie digest-utente, potrà poi procedere per forza bruta e quindi calcolare password casuali fino a trovare una corrispondenza. Questo è possibile perché molti utenti utilizzano password banali o di senso compiuto, che rendono più facile la violazione. Ecco perché è importante scegliere un algoritmo di password hashing che ostacoli queste azioni.

Gli algoritmi di password hashing

Nel scegliere un algoritmo adatto, bisogna tener conto di due requisiti essenziali:

  • una complessità computazionale che permetta di calcolare rapidamente un singolo digest, per il login di un singolo utente, ma che ostacoli il calcolarne numerosi insieme. In questo modo, sarà molto difficile procedere a tentativi.
  • una capacità di memoria richiesta tale da saturare la RAM quando molti digest vengono calcolati contemporaneamente.

Le linee guida del Garante e dell’ACN presentano diversi tipi di algoritmi. Qui di seguito riportiamo i tre algoritmi maggiormente consigliati:

  • PBKDF2 (Password-Based Key Derivation Function 2): PBKDF2 è un algoritmo usato per implementare il key stretching. Trasforma una password in una chiave o un hash applicando una funzione di hashing molte volte, il che rende gli attacchi di forza bruta e di ricerca di password molto più difficili e lenti. Le Linee guida ne raccomandano l’uso solo quando è possibile massimizzare il numero di iterazioni, come indicato nel documento.
  • Scrypt: Scrypt è un algoritmo progettato per essere molto dispendioso in termini di risorse di sistema (come la memoria e la CPU), rendendo gli attacchi di forza bruta e gli attacchi su larga scala non praticabili. A differenza di PBKDF2, Scrypt è progettato per utilizzare più memoria oltre a più tempo di CPU.
  • Argon2id: Argon2 è un algoritmo progettato per massimizzare il costo degli attacchi alle password, grazie alla quantità personalizzabile di memoria necessaria durante la sua computazione. Argon2id è progettato per essere resistente sia agli attacchi basati su memoria che agli attacchi basati su GPU, rendendolo uno dei metodi più robusti e versatili per il hashing delle password.

Non solo cybersecurity!

Come abbiamo detto, la sicurezza dei dati è un aspetto fondamentale, ma deve andare di pari passo anche con l’adeguamento alle normative sulla privacy.

Infatti, oltre a tenere i dati dei tuoi utenti al sicuro, devi anche assicurare loro di poter esercitare i diritti che il GDPR garantisce, come il diritto di richiedere la cancellazione dei propri dati o quello di opporsi al trattamento.

Inoltre, essere attenti alla protezione dei dati può anche diventare un vantaggio economico e un punto di forza. Ad esempio, sapevi che il 57% degli utenti è più propenso a utilizzare un sito web se è presente un’attestazione di conformità al GDPR?

Proteggere i dati degli utenti è fondamentale per aumentare la loro fiducia!

Noi di iubenda ci occupiamo di protezione dei dati da anni e, oltre ad aver sviluppato un prodotto che aiuta siti web e app ad adeguarsi a numerose legislazioni sulla privacy, pubblichiamo e aggiorniamo costantemente guide per aiutarvi nel vostro processo di compliance.

Non sai da dove iniziare? Prova da qui 👇

Chi siamo

iubenda

Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.

www.iubenda.com