La protezione dei dati personali senza la sicurezza informatica non esiste, soprattutto nel contesto attuale in cui i processi di digitalizzazione portano sempre più al centro notizie di cronaca in cui gli attacchi hacker sfruttano la debolezza dei sistemi per colpire gli Enti. Tra gli elementi di debolezza rientra la costruzione della password, l’Agenzia Nazionale per la cybersicurezza e il Garante privacy hanno pubblicato delle linee guida congiunte allo scopo di fornire istruzioni su come implementare efficacemente le funzioni di hashing delle password.
Una delle pratiche fondamentali alla base della protezione dei nostri dati digitali è il processo di hashing delle password. Questo meccanismo, sebbene possa sembrare complesso, svolge un ruolo vitale nell’assicurare la confidenzialità delle nostre informazioni personali nel mondo digitale. Le Linee guida sulle password forniscono elementi fondamentali per comprendere come implementare correttamente il sistema di hashing.
L’hashing delle password è una tecnica che trasforma una password facilmente comprensibile in un codice unico e indecifrabile. L’efficacia di questa tecnica risiede nella sua capacità di rendere praticamente impossibile per gli aggressori esterni decifrare o indovinare le password originali, anche se dovessero riuscire ad accedere a un database protetto. Nonostante il password hashing migliori la sicurezza della conservazione delle password, è importante prestare attenzione ad alcuni aspetti delicati, che possono lasciare spazio a talune vulnerabilità. Il principale scenario da tenere in considerazione è il data breach, ovvero l’incidente in cui può essere resa nota tutta o parte della lista contenente i digest di password salvati su un server.
Affinchè il processo sia sicuro, l’algoritmo che compone l’hashing deve avere una complessità computazionale che permetta di generare velocemente un singolo hash e richiedere una quantità di memoria tale da saturare la RAM quando si tenta di generare molti hash contemporaneamente. Quest’ultimo requisito ha lo scopo di impedire agli attaccanti di eseguire attacchi di forza bruta su larga scala, poiché il tentativo di calcolare numerosi hash in simultanea porterebbe al collasso delle risorse di memoria disponibili. A tale scopo le Autorità raccomandano di utilizzare gli algoritmi con attenzione, tra cui PBKDF2, una tecnica avanzata che trasforma le password ordinarie in codici di sicurezza altamente complessi, mescolando ogni password con un ingrediente unico e frullandola ripetutamente per garantire che sia praticamente impossibile da decifrare. Le Autorità ricordano che secondo le Linee guida stabilite dal NIST nel 2010 e dal RFC del 2017, quando si crea un Salt, per il processo di PBKDF2, lo stesso deve essere lungo almeno 128 bit e generato casualmente secondo criteri ben definiti. Il numero di volte che la password viene mescolata, noto come iterazioni, deve essere adattato alla potenza di calcolo del sistema in uso e superare le 1000 ripetizioni. Inoltre, la lunghezza finale dell’output, len, deve essere di almeno 112 bit. Tuttavia, si sottolinea che questi valori minimi potrebbero non essere sufficienti per garantire una sicurezza ottimale, considerando le capacità computazionali sempre più avanzate degli hacker. Pertanto, si prevedono aggiornamenti che incrementeranno il numero di iterazioni necessarie ed escluderanno l’uso di HMAC-SHA-1, un metodo attualmente ancora accettato. Gli studi più recenti suggeriscono di utilizzare almeno 600.000 iterazioni con HMAC-SHA256 o almeno 210.000 con HMAC-SHA512 per assicurare una protezione efficace.
Per le ulteriori tipologie di algoritmi script e Argon2d il Garante illustra le caratteristiche che dovrebbero avere la lunghezza minima del salt, del digest, il numero di interazioni e la capacità di memoria. Le Autorità sconsigliano l’utilizzo di bcrypt, un altro algoritmo di hashing, obsoleto in considerazione dell’evoluzione degli altri algoritmi.
Scrypt e Argon2id, invece, sono considerati gli algoritmi più robusti ed efficienti per la sicurezza delle password. Per quanto riguarda Argon2id le Autorità sottolineano che la capacità di lavorare contemporaneamente su più aspetti aumenta, deve essere calibrato ad altri due parametri importanti: il numero di iterazioni e la memoria richiesta. L’implementazione del sistema scelto dal titolare del trattamento dovrà essere tale da considerare la gestione delle password per ogni singolo utente e costruita in maniera da impedire l’accesso agli hacker che nel proprio modus operandi che tentano di eseguire molteplici tentativi contemporaneamente.
