Sicurezza informatica: come scegliere una password sicura

I sistemi di controllo accessi e autenticazione sono gli elementi base alla sicurezza dell'Ente. L'autenticazione è definita come il processo tramite il quale un sistema informatico, un software o un utente, verifica la corretta identità di un altro computer o utente che vuole comunicare attraverso una connessione autorizzandolo a usufruire dei servizi associati.

Le modalità con cui un essere umano può autenticarsi sono tre:

1) qualcosacheconosce(adesempiopasswordopin);

2) qualcosa che ha (ad esempio tesserino identificativo);

3) qualcosa che è ( ad esempio impronte digitali, impronta vocale, ecc).

Attualmente il metodo più utilizzato è il primo, soprattutto l'accesso con l'utilizzo di nome utente e password. Come da norme elementari, le password devono rispettare dei requisiti minimi di sicurezza per essere più efficaci. Ad esempio non è consigliabile l'uso di parole che compaiono nel dizionario, oppure di piccola lunghezza, parole ovvie che possono essere legate alla persona o al nome utente ed è altamente sconsigliato salvare tali password sul proprio pc, in quanto potrebbero essere scoperte da eventuali hacker tramite l'uso di programmi adatti.

L'Allegato B (Disciplinare tecnico in materia di misure minime di sicurezza) del D. Lgl. 196/03 [6] descrive correttamente le minime misure di sicurezza per l'autenticazione, vediamole in dettaglio.

1. Il trattamento di dati personali con strumenti elettronici e consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

4. Con le istruzioni impartite agli incaricati e prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando e prevista dal sistema di autenticazione, e composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualita che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10.Quando l'accesso ai dati e agli strumenti elettronici e consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita con le quali il titolare può assicurare la disponibilita di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita di operativita e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Riepilogando, possiamo evidenziare le principali caratteristiche che dovrebbe avere una buona password:

1) essere di almeno 8 cifre

2) non deve essere banale, in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita;

3) non deve essere una sola parola ripetuta più volte

4) non dovrebbe essere riconducibile a qualche cosa della propria vita;

5) non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;

6) deve contenere altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force.

 

Gianni Losavio