Il recentissimo e pesantissimo attacco hacker compiuto dal gruppo russo Lockbit nei confronti di una società che serve diverse entità della Pubblica amministrazione ha rischiato di causare gravi disagi.
Ed ecco, quindi, tornare nuovamente alla ribalta della cronaca l’importanza di proteggere i propri dati nel mondo digitale.
Indice
Protezione delle password e archiviazione di credenziali
Le password giocano, in questo contesto, un ruolo determinante. Molte violazioni dei dati personali sono strettamente collegate alle modalità di protezione delle password e ad una non corretta archiviazione di credenziali di autenticazione in database non adeguatamente protetti con funzioni crittografiche.
I cyber attacchi sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi.
Secondo i dati riportati dal Garante per la protezione dei dati personali il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime.
I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Tenendo conto di questa esigenza con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password.
A chi sono rivolte le linee guida
Le linee guida non riguardano il modo in cui una password personale debba essere generata per mettere al sicuro, ad esempio, il proprio account, ma il modo in cui il fornitore del servizio deve proteggere la password per accedervi.
Le linee guida, quindi, sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti.
I soggetti interessati sono i gestori dell’identità digitale SPID o CieID, i gestori PEC, i gestori di servizi di posta elettronica, come banche, assicurazioni, operatori telefonici, strutture sanitarie. Ovvero tutti quei soggetti che accedono a banche dati di particolare rilevanza o dimensioni, come i dipendenti della PA, oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari.
Obiettivo delle linee guida
L’obiettivo è di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
Tale impostazione risulta fondamentale viste le ripetute violazioni dei database dei principali social network, fornitori di caselle di posta elettronica e servizi di e-commerce e la successiva compilazione delle credenziali trafugate in enormi magazzini virtuali messi in vendita nei Dark market al miglior offerente, oppure con il semplice scopo di causare un danno reputazionale alle aziende ed entità coinvolte.
Nel dark web si reputa ci siano diversi trilioni di credenziali in vendita e il costo medio globale di una violazione dei dati nel 2023 è di circa 4,5 milioni di dollari.
Da qui nasce l’esigenza per le diverse istituzioni di prevedere di aumentare gli investimenti per la sicurezza a seguito di una violazione.
Un ambiente digitale più sicuro
Il lavoro svolto col Garante Privacy sulla conservazione sicura delle password, però, è solo uno dei modi in cui l’ACN è intervenuta per costruire un ambiente digitale più sicuro.
Come è avvenuto in altri contesti internazionali, la Divisione Scrutinio Tecnologico, Crittografia e Nuove Tecnologie, all’interno del Servizio di Certificazione e Vigilanza dell’Agenzia, ha deciso di avviare la pubblicazione delle “Linee Guida Funzioni Crittografiche”, che rappresentano le principali funzioni (primitive) crittografiche sia da un punto di vista teorico, che pratico.
Tra queste ci sono:
- le “funzioni di hash crittografiche”, grazie alle cui proprietà è possibile assicurare l’integrità dei dati
- i “codici di autenticazione del messaggio” o MAC, che permettono di garantire l’integrità di un messaggio e di verificare l’identità del mittente.
Nel loro insieme, tutti questi documenti forniscono delle indicazioni precise per l’impiego degli algoritmi crittografici.
L’ultimo capitolo contiene le conclusioni tratte in seguito alla dissertazione svolta e la lista degli algoritmi e dei parametri raccomandati da ACN.
L’obiettivo, in linea con le misure previste dalla Strategia nazionale di cybersicurezza e con le indicazioni della normativa nazionale ed europea, è promuovere l’utilizzo di crittografia commerciale lungo tutto il ciclo vitale dei sistemi e servizi ICT, nel rispetto dei principi della sicurezza e della tutela della privacy.
I documenti tengono in considerazione le minacce presenti al giorno della loro pubblicazione. E’ previsto un tempestivo aggiornamento in base agli sviluppi di ricerca in termini di crittografia e cybersicurezza.
Data la diversità tra i sistemi informativi a cui si applicano e la varietà di contesti possibili, ACN non può garantire che queste raccomandazioni possano essere utilizzate nei sistemi informativi di destinazione senza adattamento. Pertanto ACN indica che la pertinenza dell’attuazione delle soluzioni proposte deve essere sottoposta, preventivamente, a valutazione e validazione da parte dei responsabili della sicurezza dei sistemi informativi.
La realizzazione di questi documenti rientra proprio tra le funzioni attribuite all’Agenzia per la Cybersicurezza Nazionale per la prima volta sancita dalla legislazione italiana (dal DL 82/2021,).
L’ACN è promotrice dell’utilizzo della crittografia come strumento di cybersicurezza, in attuazione della misura #22 della Strategia Nazionale di Cybersicurezza.
La struttura delle linee guida per la conservazione delle password
L’accesso alla maggior parte dei sistemi e servizi informatici prevede il superamento di procedure di autenticazione informatica a uno o più fattori che, spesso, comprendono l’utilizzo di una parola chiave (password).
La gestione delle password, quindi, diventa un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali. Per tale ragione i gestori dei sistemi e servizi devono prevedere misure tecniche e organizzative efficaci per l’archiviazione, la conservazione e l’utilizzo delle password.
Gli archivi, in cui sono conservate le password, finiscono sempre più frequentemente nelle mani di soggetti esterni a seguito di attacchi informatici e vengono poi pubblicati online o utilizzati per condurre altri attacchi. È quindi estremamente raccomandato l’utilizzo di robuste funzioni crittografiche di password hashing.
Le linee guida presentano questa struttura:
- Introduzione del concetto di password hashing, focalizzando l’attenzione sulle proprietà che le funzioni devono soddisfare e sui possibili attacchi a cui gli archivi di password possono essere soggetti
- Dettaglio degli algoritmi più comuni utilizzati per il password hashing
- Indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri
La funzione di hash produce una sequenza di bit (o una stringa), detta digest, strettamente correlata con i dati in ingresso. Una delle proprietà piu’ rilevanti per i fini di cui si tratta è quella di essere one-way, non invertibile.
Questo vuol dire che le password non sono archiviate in chiaro e quindi l’hacker non disporrà direttamente delle password, ma del relativo digest.
Questo non preserva da vulnerabilità! Per potersi difendere da questo genere di attacchi hacker, le linee guida consigliano l’utilizzo di algoritmi di password hashing, che prevedano l’aggiunta di un salt o di un pepper ad ogni password: una serie di meccanismi che forniscono protezione su diversi fronti, rallentando le potenzialità dell’attacco.
Le sempre maggiori capacità computazionali utilizzate dai sistemi di decrittazione hanno indotto i crittografi ad implementare gli algoritmi di cifratura.
Attualmente, per l’utilizzo in ambito di password hashing sono quattro le funzioni maggiormente diffuse e sicure:
- Password Based Key Derivation Function 2(PBKDF2)
- Scrypt
- Bcrypt
- Argon2
Conclusioni
ACN, al termine del testo, trae delle conclusioni. In particolare:
- l’uso di un salt risulta una condizione obbligatoria per qualsiasi algoritmo di password hashing
- si sconsiglia l’utilizzo di soluzioni personalizzate
- l’algoritmo PBKDF2 deve garantire una sicurezza adeguata, pertanto si raccomanda l’utilizzo delle sole funzioni di hash indicate nel documento dedicato, massimizzando il numero di iterazioni
- per quanto riguarda Bcrypt risulta alquanto datato e non viene raccomandato
- Scrypt e Argon2id risultano gli algoritmi più robusti ed efficienti e dovrebbero essere prioritari rispetto a qualsiasi altra scelta
- per quanto riguarda i parametri minimi di Argon2id, si sottolinea come aumentare il grado di parallelizzazione p richieda necessariamente l’aumento di almeno uno degli altri due parametri, ovvero il numero di iterazioni c e la memoria richiesta m.
- si raccomanda, in ogni caso, di valutare una dimensione adeguata dei parametri di Argon2id in base alla propria capacità computazionale e di memoria, in modo da garantire una rapida esecuzione su una singola password, ma tale da rendere infattibile un numero elevato di esecuzioni.