Password: le nuove linee guida dell’Agenzia per la cybersicurezza nazionale e il Garante per la protezione dei dati personali.
Da bambini, nei nostri giochi, usavamo le «parole d’ordine», imitando scene di film o rievocando racconti fiabeschi di luoghi a cui solo pochi eletti potevano accedere.
Ci veniva chiesta con la supponenza e la presunzione di chi si sente un privilegiato e noi la pronunciavamo con una certa emozione perché sapevamo che, se non avessimo sbagliato nulla, si sarebbe aperta una porta che ci avrebbe permesso di entrare in uno spazio proibito. In un mondo di pochi eletti, mentre tutti gli altri rimanevano fuori.
Una vera e propria parola magica.
Era una versione antica e semplificata delle password che oggi tutti conosciamo e che ci permettono di accedere alle nostre realtà 2.0 in cui siamo quotidianamente immersi. Luoghi proibiti per tutti gli estranei e di cui solo noi, e pochissimi altri, conosciamo la chiave di accesso.
Il problema è che questo «gioco» a cui siamo costantemente chiamati ci costringe a inventare e ricordare, secondo alcune ricerche, un numero medio di 70-80 password per avere accesso a tutti i nostri dispositivi, programmi, applicazioni, aree riservate di siti web e tutto ciò che è ormai diventato indispensabile per la nostra vita. Così, per ovviare a questo continuo sforzo di creatività e di memoria cerchiamo spesso delle scorciatoie: utilizziamo password molto semplici come sequenze di numeri, nomi e date di nascita di figli, partner, parenti vari, animali domestici; oppure utilizziamo la stessa password per tutti gli accessi che ci servono, oppure ancora scriviamo le password su foglietti che poi lasciamo in bella vista.
Insomma, alle password, che hanno la stessa valenza della combinazione della cassaforte con dentro i nostri beni più preziosi, ancora non riusciamo a dare la giusta importanza e a trattarle con la dovuta considerazione. Di contro, secondo i dati, il 50% degli attacchi informatici coinvolgono credenziali di accesso rubate perché archiviate in database non adeguatamente protetti con funzioni crittografiche.
Pare inoltre che lo smart working abbia aggravato di molto il problema. Secondo uno studio recente del 2022 il 62% dei dipendenti condivide le password tramite SMS o e-mail.
La stessa ricerca riporta statistiche allarmanti sulla negligenza delle password, incluso il fatto che il 57% degli intervistati ha ammesso di aver scritto password online legate al lavoro su “note adesive” e, tra questi, il 67% ha dichiarato di aver perso quelle note.
I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%).
In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Per tutti questi motivi, l’Agenzia per la cybersicurezza nazionale e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.
Le linee guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (ad esempio, gestori dell’identità digitale Spid o CieID, gestori Pec, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (ad esempio dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (ad esempio professionisti sanitari, avvocati, magistrati).
Si tratta di una misura importante anche perché sottolinea ancora una volta la necessità di non sottovalutare il ruolo strategico delle password.
Anche attenendosi alle nuove linee guida però non ci si mette al sicuro dai rischi di attacchi informatici perché la distrazione è sempre dietro l’angolo e il fattore di rischio più alto rimane sempre quello umano. È dunque fondamentale rimanere vigili sulle proprie azioni online e mantenere sempre alto il livello di sicurezza, sia nelle nostre vite private sia nelle aziende o organizzazioni in cui lavoriamo.
Per questo, oltre a tenere in forte considerazione le nuove linee guida diffuse dalle istituzioni, la migliore difesa rimane quella di un adeguato percorso di formazione tarato sul livello di preparazione dei singoli individui e che, oltre alle conoscenze teoriche, preveda esercitazioni e allenamenti continui, per mettere in pratica le conoscenze acquisite.
Le strade del web sono sempre più pericolose e quando decidiamo di percorrerle (cosa che oggi avviene praticamente sempre) dobbiamo essere certi di essere protetti nel modo adeguato e pronti a individuare e respingere ogni attacco.
Le linee guida, in corso di pubblicazione nella Gazzetta Ufficiale, sono consultabili sui siti web www.gpdp.it e www.acn.gov.it.