Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Subito dopo il rientro dalle Festività, le Pubbliche Amministrazioni, anche in qualità di fornitori di servizi digitali, dovranno avviare il percorso, indicato dall’Agenzia per la Cybersicurezza Nazionale in collaborazione con il Garante, per introdurre Misure tecniche di sicurezza informatica costituite dalle “Funzioni Crittografiche” necessarie per elevare la sicurezza della conservazione delle password di accesso ai sistemi e alle banche dati.
Sempre più frequentemente, infatti, gli attacchi informatici e le violazioni dei dati personali sono da imputare alle modalità non sicure di protezione delle password.
Queste modalità non sicure sono costituite, in molti casi, dall’archiviazione delle password in database non adeguatamente protetti con funzioni crittografiche.
In particolare, l’adozione delle misure tecniche individuate nelle Linee guida in materia di funzioni crittografiche per la conservazione delle password risulta necessaria in tutti quegli negli Enti in cui risulti presente una o più delle seguenti condizioni, indicate dal Garante:
a) la conservazione riguarda le password di un numero significativo di utenti;
b) la conservazione riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
c) la conservazione riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento;
Per consentire agli Enti di prevenire fenomeni di data breach relativi alle password, il Garante quindi:
- ha collaborato con l’Agenzia per la Cybersicurezza Nazionale nell'elaborare e adottare le “Linee Guida Funzioni Crittografiche – Conservazione delle Password”per la conservazione sicura delle password;
- ha fornito le indicazioni sui criteri da utilizzare per determinare il periodo di conservazione delle password, fornite nelle Linee guida riguardanti misure di attuazione del principio di limitazione della conservazione di cui (art. 5, par. 1, lett. e), del Regolamento);
Le “Linee Guida Funzioni Crittografiche - Conservazione delle password” e le relative indicazioni sono stati approvati con provvedimento del Garante il 7 dicembre, pubblicato sul sito istituzionale del Garante stesso il 12 dicembre e, attualmente, in corso di pubblicazione sulla G.U.
Nel provvedimento suddetto, il Garante ha richiamato, testualmente:
Il contenuto delle Linee Guida è rappresentato da:
L’obiettivo perseguito dall’Agenzia per la Cybersicurezza Nazionale e dal Garante è di:
I diretti destinatari delle Linee Guida Funzioni Crittografiche sono, oltre alle imprese:
Ferma restando l’adozione delle Linee guida per la protezione delle password, le Pubbliche Amministrazioni e i dipendenti devono comunque tenere presente che, indubbiamente, presenta rischi per i diritti e le libertà delle persone fisiche la conservazione delle stesse per un arco di tempo superiore alla finalità per la quale è stato effettuato il trattamento (es. consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o, se del caso, a garantire la sicurezza).
MISURE TECNICHE PER L’ARCHIVIAZIONE, LA CONSERVAZIONE E L’UTILIZZO DELLE PASSWORD
Secondo la consueta nozione di “dato personale”, la password costituisce un dato personale attribuibile all’utente che l’ha creata e che la utilizza per accedere a sistemi informatici o servizi online.
Prevale, tuttavia, un’altra nozione di password ed è la nozione di password come misura tecnica di sicurezza. Come misura tecnica di sicurezza, la password coincide la procedura di autenticazione informatica per l’accesso a sistemi informativi e a servizi online e, conseguentemente, ai dati personali inclusi o trattati nell’ambito dei predetti sistemi e servizi, riferibili allo stesso utente o ad altri soggetti interessati.
Intesa come misura di sicurezza, la password deve essere adeguata al profilo di rischio a cui è collegata e, in tal senso, richiede:
In sede di trattamento del rischio, le Funzioni Crittografiche per la conservazione delle password costituiscono misure tecniche che possono efficacemente attenuare il rischio di esfiltrazione di credenziali e, quindi, i probabili impatti negativi sui diritti e le libertà degli degli interessati in caso di violazione dei dati personali aventi ad oggetto credenziali di autenticazione informatica.
A maggior ragione le Funzioni Crittografiche per la conservazione delle password vanno considerate misure da introdurre per garantire un Livello di sicurezza adeguato tenuto conto delle numerose istruttorie e dei numerosi accertamenti ispettivi condotti dal Garante nei confronti di titolari e responsabili del trattamento, che hanno dimostrato “una limitata applicazione di misure tecniche per proteggere in modo efficace le password di utenti conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, derivante anche da un’inadeguata individuazione e valutazione dei predetti rischi da parte di titolari e responsabili del trattamento”.
Ne é, conseguentemente, scaturita l’esigenza di:
- individuare, attraverso le Linee guida in esame, le misure tecniche disponibili in base allo stato attuale dell’arte al fine di proteggere le password degli utenti conservate nell’ambito dei sistemi di autenticazione informatica, o di altri sistemi;
- promuovere la diffusione e l’adozione delle Linee guida, in modo che i titolari e i responsabili del trattamento, anche in attuazione del principio privacy by design e privacy by default, possano:
In attuazione del principio di responsabilizzazione, contenuto negli artt. 5, par. 2, e 24 del GDPR, i titolari e i responsabili del trattamento possono comunque garantire la sicurezza delle password anche attraverso l’adozione di misure tecniche diverse da quelle individuate nelle Linee guida, fermo restando che, in quest’ultimo caso, “devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche”.
Ciò premesso in via generale, passando ora all’esame del contenuto delle Linee guida si evince che le stesse, quali misure tecniche, si devono applicare per:
- l’archiviazione;
- la conservazione;
- l’utilizzo delle password.
Per tali utilizzazioni, è estremamente raccomandato dall’Agenzia per la Cybersecurity e dal Garante l’utilizzo di robuste funzioni crittografiche di password hashing.
IL CONCETTO DI PASSWORD HASHING
La Pubblica Amministrazione dovrà garantire che la conservazione delle password risulti fondata sull'approccio di password hashing.
Per illustrare tale approccio occorre, preliminarmente, chiarire la nozione di digest.
Come illustrato dalle Linee guida, si definisce “digest”quella specifica funzione di hash che prende in input una stringa di bit di lunghezza arbitraria e restituisce una stringa di bit di lunghezza fissa.
Attraverso la specifica funzione di hash in esame:
Tale elevato livello di protezione rende le funzioni di hash idonee alla conservazione sicura delle password, specie con riferimento alle hash crittografiche, tenuto conto che una delle proprietà principali delle funzioni di hash crittografiche è proprio quella di essere:
- one-way (“non invertibile”), nel senso che, disponendo di un digest, è difficile trovare, computazionalmente, un input che permetta di ottenerlo tramite la funzione di hash. In pratica, la grande complessità dell’operazione di invertire le funzioni di hash rende impossibile all'hacker recuperare le password degli utenti.
IL Garante rinvia al documento dedicato alle funzioni di hash, per reperire i dettagli e le raccomandazioni da seguire per attuare le funzioni di hash in esame.
L’AGGIUNTA DI UN SALT ALLA PASSWORD HASHING
Secondo le Linee guida, è vero che il password hashing migliora la sicurezza della conservazione delle password ma tale miglioramento del livello di sicurezza non equivale a sicurezza assoluta, potendo le funzioni di hash lasciare margine a residue vulnerabilità.
Secondo il Garante, nel contesto di un data breach - che è il principale scenario negativo da tenere in considerazione - si potrebbe verificare un incidente di sicurezza in cui trapela in tutto o in parte la lista dei digest di password salvati dall’ente su un server.
Il Garante evidenzia che “una volta ottenuta la lista delle coppie utente-digest, l’attaccante può procedere per forza bruta, cioè calcolando l’hash di password casuali fino a trovare una corrispondenza, oppure può effettuare un attacco al dizionario. Questo tipo di attacco sfrutta il fatto che, solitamente, gli utenti scelgono password banali o comunque parole di senso compiuto, per cui un malintenzionato potrebbe calcolare l’hash delle password più comuni fino a trovare una corrispondenza all’interno della lista trapelata. È importante osservare come chiunque sia in possesso dell’archivio sia anche in grado di individuare tutti gli utenti che utilizzano la stessa password, poiché, in questo caso, anche i digest sono uguali”
Per mitigare il rischio residuo di data breach in casi come quelli in precedenza indicati, le Linee guida consigliano di:
- utilizzare algoritmi di password hashing che prevedono l’aggiunta, ad ogni password, di una stringa di bit casuali che viene concatenata alla password prima del calcolo del digest e poi salvata in chiaro insieme al digest della password dell’utente ( c.d. aggiunta di un salt).
- salvare il salt in un archivio differente da quello contenente le password, per aumentare il livello di sicurezza.
Precisa il Garante che “il salt non ostacola la procedura di autenticazione informatica dell’utente: essendo salvato in chiaro, è sufficiente concatenarlo alla password inserita dall’utente in fase di accesso prima di applicare l’algoritmo di password hashing utilizzato”.
Il PEPPER
L’ente può fruttare anche un altro strumento crittografico per garantire un più elevato livello di sicurezza. Si tratta del pepper, una stringa di bit casuale che deve essere tenuta segreta (in analogia a quanto avviene per chiave di un HMAC o ad un meccanismo di cifratura simmetrico applicato al digest della password).
L’AGGIORNAMENTO DEI DIGEST
L'aggiornamento dei digest delle password già salvati nell’archivi è di fondamentale importanza per incrementare il livello di sicurezza. A maggior ragione tale strategia di aggiornamento è da utilizzare negli Enti che dispongono di sistemi di autenticazione che utilizzano la funzione, obsoleta, di password hashing h. In tali casi va adottato un algoritmo H più sicuro. Le linee guida illustrano, passo passo, la procedura da seguire per l'aggiornamento dei digest.
ALGORITMI RACCOMANDATI E RISPETTIVI PARAMETRI
Le Linee guida raccomandano:
- l’utilizzo degli algoritmi di password hashing specificatamente indicati nella Tabella 1 delle Linee guida medesime;
- l’utilizzo dei parametri minimi consigliati per i diversi algoritmi nella citata Tabella.
- l’adozione di funzioni di derivazione di chiave (o key derivation function), ideate per ottenere una o più chiavi segrete a partire da un valore iniziale segreto, come ad esempio una master key.
Di seguito si trascrivono gli algoritmi suggeriti nella Tabella 1 delle Linee guidoa: