Linee guida in materia di conservazione delle password

Tratto da www.garanteprivacy.it – Newsletter del 01/03/2024

Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale. Ed è proprio con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

Password: dal Garante i suggerimenti per sceglierle e conservarle in modo sicuro

Tratto da www.garanteprivacy.it

Data di pubblicazione: 25/10/2021

Pochi e semplici suggerimenti per la sicurezza dei dispositivi e dei servizi digitali che utilizziamo ogni giorno. Il Garante lancia una nuova scheda con consigli di base per impostare password sicure e gestirle in modo accorto.

Il nuovo vademecum spiega ad esempio come scegliere una buona password, come gestire tutte quelle che fanno parte della nostra vita quotidiana (da quelle per accedere ai dispositivi a quelle per i vari servizi di e-mail, acquisto online, ecc.) e come conservarle in modo che non siano facile preda di eventuali malintenzionati.

La prima linea di difesa dei nostri dati personali è sempre la consapevolezza su come gestiamo, conserviamo ed eventualmente diffondiamo le informazioni che ci riguardano.

La scheda, che ha finalità divulgative, si inserisce nel quadro delle attività di educazione digitale di base che fanno parte della missione specifica dell’Autorità.

Nella vita falla semplice. Ma non con le password!

Tratto da: Blog Kaspersky

Autore: Daniela Incerti – 09/11/2020

Semplici o complesse? Con caratteri speciali o senza? Ecco quanto ci mettono gli hacker a trovare le vostre password!

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

I vostri account social, di gioco o di lavoro vi sembrano essere al sicuro?
E se invece scopriste che la vostra password potrebbe essere decifrata in pochi secondi?

È sempre meglio usare password variegate, fantasiose, non solo nei caratteri ma anche nei simboli, numeri, caratteri speciali, e chi più ne ha più ne metta. Sembra un assunto semplice, intuitivo e diretto, ma non è così.

Al primo posto troviamo “123456″. Questa password è hackerabile in meno di 1 secondo. Al secondo e terzo posto l’intramontabile “123456789” e subito dopo “qwerty“. Al quarto posto troviamo “password“, hackerabile in 1 secondo, e non ci son maiuscole che tengano: “PaSsWoRD” la troverebbero in 4 secondi.

Attenzione però: la sicurezza online non è un gioco!

Proprio per questo Kaspersky mette a disposizione Password Checker, uno strumento che permette di verificare quanto sia “sicura” la propria password e offre tutta una serie di utili consigli su come crearla a prova di cybercriminale.

Giocandoci un po’ si potrà subito capire come l’utilizzo di caratteri speciali è utilissimo per rendere la propria password più sicura. Alcuni semplici esempi potrebbero essere “TuoNome”, decifrabile in 2 giorni, contro i 4 anni che ci vorrebbero per scoprire “TuoNome80!”
Quindi, meglio metterci un po’ più di tempo e generare una password sicura, che crearne una troppo semplice e vulnerabile, correndo il rischio di farsi rubare il proprio account con all’interno informazioni di pagamento, contatti e dati sensibili.

Ci teniamo a specificare che, sebbene Password Checker fornisca preziose indicazioni su come generare password “forti”, non può sostituire in toto l’intelligenza umana. Ad esempio, se la password del vostro account di incontri online è il vostro nome seguito dal vostro cognome e anno di nascita, magari un programma la troverà in 4 anni, ma il vostro fidanzato o la vostra fidanzata ci metterà molto, molto meno.

Sfruttando queste conoscenze, diventa imperativo avere password variegate nei caratteri, maiuscole, minuscole e simboli. Soprattutto è preferibile avere password diverse per account diversi, nell’evenienza in cui la nostra password dovesse essere hackerata o rivelata.

Quindi qual è la soluzione migliore?

Abbiamo capito quali password sarebbe meglio non utilizzare e anche quali potrebbero essere così deboli da essere scoperte in pochi secondi.

Purtroppo, la soluzione è anche la più complessa: una password per essere sufficientemente sicura dovrebbe contenere numeri, lettere minuscole, lettere maiuscole, punti esclamativi, interrogativi e simboli; dovrebbe essere lunga almeno 8 caratteri e dovresti renderla memorizzabile. La simpatica password 12345-humpty-dumpty-satonthe-firewall e la folle combinazione ?Y]G9gWJ48zYkFBc@{nKw!’q hanno più o meno la stessa forza, ma è difficile che tu possa ricordarti la seconda.

Come sarà mai possibile ricordarsi una password del genere, diversa per ogni account?
Lasciate perdere penna e taccuino (che comunque è un metodo per ricordarsi le password MOLTO PERICOLOSO).

Kaspersky corre in soccorso con lo strumento perfetto: il Password Manager incluso all’interno di Kaspersky Total Security che ti permette di sincronizzare le tue password ovunque esse siano: su PC, Mac, iOS e Android. Così da non perdertene più neanche una! È un programma sicuro in grado di gestire e memorizzare le password più complesse per accedere alla tua vita online, ed essere sicuri di non dimenticare mai più una password, rendendo l’esistenza di chiunque voglia accedere ai tuoi dati un autentico calvario.

Kaspersky Password manager: molto più di un gestore di Password

Quando esegui l’accesso a un sito, il Password Manager di Kaspersky ti proporrà l’inserimento automatico, così da rendere l’esperienza online più fluida, senza interruzioni.

Oltre a salvare le password, quando apri un nuovo account, il Password Manager grazie a un “motore genera password” te ne creerà una sicura e complessa. Come ricordartela? Nessun problema, te la ricorda il software.

Password Manager non solo crea, salva, memorizza e sincronizza le tue password: ma anche documenti sensibili come foto e PDF, i dati della tua carta di credito e gli indirizzi. Così, in caso di spese online, potrai concentrarti su ciò che ti piace davvero.

Per ulteriori informazioni: dircom@argonavis.it

I dieci consigli per l’igiene cibernetica per le PMI in tempo di pandemia

Tratto da www.enisa.europa.eu

ENISA l’Agenzia europea per la sicurezza informatica pubblica dieci suggerimenti per l’igiene informatica a supporto delle PMI nella protezione dei loro beni virtuali dagli attacchi informatici, durante la pandemia di COVID-19.

Le crisi come l’attuale pandemia di COVID-19 hanno un grave impatto sulla società e sull’economia europea, nonché internazionale. Le piccole e medie imprese (PMI) affrontano spesso periodi difficili. Sfortunatamente, i criminali informatici spesso vedono tali crisi come opportunità. Gli attacchi di phishing e ransomware sono in aumento.

Le PMI si trovano anche di fronte a una nuova realtà in cui i dipendenti lavorano di più da casa. In questo modo diventano ancora più dipendenti dall’Information Technology (IT) di prima. Inutile dire che proteggere queste risorse virtuali è della massima importanza per quasi tutte le PMI.

Secondo l’ENISA, i dieci principali argomenti relativi all’igiene informatica che le PMI dovrebbero affrontare, possibilmente esternalizzando ove necessario, sono presentati di seguito:

Management buy-in. È importante che la direzione veda l’importanza della sicurezza informatica per l’organizzazione e che sia regolarmente informata.
Valutazione del rischio. La valutazione preliminare dello stato di sicurezza in azienda identifica e stabilisce le priorità: quali risorse proteggere prima di altre e da quali minacce?
Politica di cyber security. Predisporre le politiche necessarie per gestire la sicurezza informatica e nominare qualcuno, ad esempio un responsabile della sicurezza delle informazioni (ISO), responsabile della supervisione dell’attuazione di tali politiche.
Consapevolezza. I dipendenti devono comprendere i rischi e devono essere informati su come comportarsi online. Le persone tendono a dimenticare queste cose piuttosto rapidamente, quindi ripeterle ogni tanto può essere prezioso.
Aggiornamenti. Effettuare sempre tutti gli aggiornamenti consigliati in ogni server, workstation, smartphone, magari tramite processi automatizzati e di test.
Backup. Prima di eseguire questi aggiornamenti, è fondamentale disporre di buoni backup. Eseguire spesso il backup dei dati più importanti mette l’azienda al riparo dai costi di ripristino che potrebbero seguire ad un attacco ransomware. Si consiglia di conservare dei backup offline, controllare periodicamente il loro stato e duplicarli per una maggiore sicurezza.
Gestione degli accessi. Predisporre regole / politiche per la gestione degli accessi e applicarle. Assicurarsi che le password predefinite vengano modificate, ad esempio, che le password non vengano condivise, ecc.
Protezione endpoint. Proteggere gli endpoint, prima di tutto installando un software antivirus.
Accesso remoto sicuro. Limitare il più possibile l’accesso remoto e dove assolutamente necessario, abilitarlo ma in modo sicuro. Assicurarsi che la comunicazione sia crittografata correttamente.
Piano di gestione degli incidenti (Recovery). Predisporre un piano dettagliato su come gestire un incidente quando si verifica. Quali scenari potrebbero verificarsi e quali soggetti contattare?

Pensi che la tua password sia veramente sicura?

La scelta di una buona password è una delle operazioni più importanti e sottovalutate che l’utente informatico si trova a fare.

Esistono delle regole abbastanza precise che permettono di selezionarne una efficace, tuttavia spesso il problema diventa ricordarla senza doverla scrivere da qualche parte, riducendone l’efficacia.

Kaspersky ha reso pubblico un servizio che permette di testare la complessità della password: https://password.kaspersky.com/it/ dando una indicazione temporale del tempo che sarebbe necessario per individuarla.

kaspersky password

Anche se lo strumento dovesse indicare che il tempo per scoprire con degli strumenti automatici fosse di oltre 10000 secoli, di cambiare la password ogni 6 mesi. La digitazione frequente e magari fatta postazioni “insicure” come ad esempio da PC posti in luoghi pubblici, potrebbe mettere a rischio la riservatezza della password.

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

Kaspersky Password manager: molto più di un gestore di Password

Categorie