Tra le misure di sicurezza elencate nell’approfondimento della scorsa settimana, abbiamo individuato le policy che l’Ente deve predisporre a beneficio dei propri dipendenti. Tra queste policy, o procedure, una delle più importanti è la password policy, ossia le istruzioni che l’Ente deve fornire a tutti i lavoratori per creare, modificare e gestire le password di accesso ai sistemi (posta elettronica, server, applicativi in uso) in maniera sicura.
Può sembrare una banalità, ed in effetti si tratta di un passaggio per la sicurezza piuttosto semplice, ma proprio per questo molto sottovalutato, benché di cruciale importanza. È stato dimostrato che oltre il 90% degli attacchi perpetrati ai danni delle PA (che costituiscono a loro volta circa il 67% degli attacchi complessivi annuali commessi in Italia in danno ai sistemi informatici per la sottrazione di dati e informazioni personali) avviene tramite la compromissione di credenziali di accesso.
Password troppo deboli, troppo corte, utilizzate più volte per sistemi diversi mettono a rischio l’intera infrastruttura informatica dell’Ente.
La prima società che costituii per gestire la protezione dei dati dei clienti si chiamava Dadadati: un gioco di parole tra “dati” e “dadada” che era la password che Mark Zuckerberg, il fondatore di Facebook, usava per il proprio account sul suo social. E non solo per quello, ma anche per LinkedIn, Twitter e Pinterest. La stessa password, semplicissima, per tutti i social. Risultato? Nel 2016 la password compromessa di Zuckerberg venne diffusa nel dark web, e venne divulgata la notizia che ben quattro anni prima questa debole password era stata coinvolta in un attacco, insieme alle credenziali di accesso del fondatore di Twitter, del CEO di Google, e di migliaia di altri utenti.
Dunque, la prima regola è che non si deve mai utilizzare la stessa password per servizi diversi, perché, dal momento che tutti possiamo essere vittima di un attacco, se una password viene compromessa, è bene che sia quella di un singolo servizio, in modo da tenere al sicuro tutti gli altri. Altra regola fondamentale, che l’Ente deve mettere per iscritto, è il divieto di utilizzare le stesse password per servizi personali (ad esempio per i propri profili social) e per servizi di lavoro.
Dal momento che l’unica password sicura è quella che non siamo in grado di ricordare, evitiamo di utilizzare parole di senso compiuto, nomi dei figli o di animali domestici, date di nascita o altri elementi personali che possano ricondurre direttamente a noi (si tratta di informazioni personali che in rete, che ne siamo consapevoli o meno, circolano liberamente, dunque di facile individuazione).
Ecco un breve vademecum pratico per la creazione di una password sicura:
- deve essere composta da un buon numero di caratteri perché più è lunga, più diventa “forte”. Otto è il numero minimo, ma sarebbe consigliabile arrivare a 12/15;
- deve contenere caratteri di diverso tipo. Non solo lettere maiuscole/minuscole e numeri, ma anche i caratteri speciali da tastiera (cioè #@&%$^ ecc.), in modo che le possibili combinazioni aumentino. È stato stimato che un attacco a forza bruta (condotto attraverso la prova automatica di un gran numero di combinazioni di caratteri fino a trovare quello giusto) possa impiegare meno di un secondo per decifrare una password composta da otto caratteri di soli numeri, ma questo tempo sale esponenzialmente se ci si sforza di comprendere nelle nostre password 12 caratteri scelti anche fra i 33 tipi di caratteri speciali. Più il tempo si allunga, più il lavoro dell’attaccante diventerà difficoltoso e diventerà per lui meno conveniente cercare di carpire la password.
- non deve essere banale né contenere riferimenti personali o familiari facili da indovinare o che possono essere noti (nome, cognome, data di nascita, numero della patente o della carta di identità). Non deve nemmeno contenere riferimenti al nome utente (user name, user id, ecc…);
- non deve usare parole contenute nel dizionario o di uso comune e nemmeno parole scritte al contrario. Sono preferibili parole a caso, combinazioni di lettere senza senso (appunto impossibili da ricordare). Alcune volte si utilizza il trucchetto di sostituire alcune lettere con caratteri speciali (@ per a; & o 3 per e oppure § o $ per s): diciamo che è meglio di niente, ma sono trucchi ormai conosciuti, che i software sono già allenati a trovare;
- non deve essere composta da sequenze di numeri o lettere o da caratteri contigui sulla tastiera o caratteri ripetuti. Fra le combinazioni più abusate troviamo 12345678 o qwerty, che vengono scoperte in un tempo ormai inferiore al secondo!
- va sostituita quando si sospetta che possa essere stata violata, con una password completamente nuova: non vanno mai utilizzate password già utilizzate in passato. Questo discorso vale anche per le cd. “password temporanee” rilasciate dalle piattaforme o dai siti in cui ci si registra, che vanno sempre immediatamente cambiate.
- deve essere unica e non utilizzata per più servizi o più account, come visto in apertura;
- deve essere conservata in modo sicuro: vietato, vietatissimo scrivere la password su post-it attaccati al pc, passarsi le password tra colleghi, annotarle su biglietti o, peggio ancora, su un file word che contiene tutte le password…salvato col nome password!
- non deve mai essere condivisa né oralmente, né via e-mail, sms, social network o attraverso programmi di messaggistica istantanea;
- non deve mai essere memorizzata, specie su dispositivi che non siano personali (attenzione alle postazioni pubbliche, come i computer in uso alle biblioteche per esempio) ma non solo. Anche salvare le password del proprio dispositivo nel browser non è una buona idea perché possono essere facilmente carpite con un semplice operazione di modifica della formattazione. E per fare questo basta avere l’accesso al pc, anche da remoto;
- utilizzare un password manager, cioè quei programmi o applicazioni specializzati che generano password sicure e consentono di gestirle direttamente in formato digitale, salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento e sono protetti da una master password che serve per potervi accedere e che sarà l’unica password che occorrerà ricordare (e ricordarla sul serio, perché i password manager davvero sicuri non hanno la procedura “hai smarrito la password” per resettarla, quindi non c’è possibilità di recupero).
- Infine, se possibile, utilizzare l’autenticazione a due fattori o multi-fattore, meccanismi che rafforzano la protezione offerta dalla password con il sistema OTP (one-time password). Questo tipo di autenticazione, che di fatto rende la password quasi invalicabile (o comunque rende la vita difficile a chi cerca di carpirla) si basa sul metodo delle tre domande, ossia l’utente, per utilizzarla, deve avere a disposizione la risposta a queste tre domande: “Qualcosa che sai”: la classica password o il PIN per accedere. “Qualcosa che sei”: ad esempio l’impronta digitale o l’immagine del viso o qualsiasi altro dato biometrico. “Qualcosa che hai”: la carta di credito, lo smartphone o un token di sicurezza.
Ultimo consiglio, non tecnico, ma di approccio pratico: stringere le maglie della sicurezza informatica vuol dire, necessariamente, cambiare un po’ non solo la mentalità, ma anche il modo di lavorare. È un passaggio necessario, imprescindibile, per entrare e fare entrare il nostro Ente nella nuova era.
La transizione digitale passa anche e soprattutto attraverso il ripensamento integrale delle dinamiche che finora hanno retto i servizi affidati alle PA, che devono diventare non solo servizi per il cittadino, ma con il cittadino. Per ottenere risultati diversi bisogna fare cose diverse: e la frase “abbiamo sempre fatto così” è la prima falla nella sicurezza di qualsiasi struttura, privata o pubblica che sia.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento