La password equivale ad una “chiave”, un “lucchetto” che rivela la chiara volontà di non consentire l’accesso a dati e informazioni a soggetti terzi privi di autorizzazione. Di conseguenza la gestione delle password rappresenta un aspetto fondamentale della sicurezza informatica e della protezione dei dati personali: secondo il Verizon’s Data Breach Investigation Report (DBIR) 2023, la proliferazione di crimini cyber è in larga parte dovuta a credenziali rubate o compromesse.
In questo scenario si colloca l’iniziativa congiunta dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Garante per la protezione dei dati personali, con la pubblicazione a dicembre 2023, di Linee Guida tecniche, rivolte a tutte le imprese e le Amministrazioni pubbliche che, in qualità di titolari o responsabili del trattamento dei dati, conservano sulle proprie piattaforme le password degli utenti.
Le linee guida hanno l’obiettivo di fornire indicazioni e raccomandazioni sulle funzioni crittografiche attualmente più sicure, incoraggiando l’uso della crittografia come strumento di cybersicurezza, in grado di garantire un livello di protezione efficace e duraturo.
Anche AgID a maggio 2017, ha emanato delle “Misure minime di sicurezza ICT” a protezione dei processi interni delle Pubbliche Amministrazioni. Il documento AgID richiede un’analisi preliminare di tutti i dati, al fine di individuare quelli che necessitano di particolari requisiti di riservatezza (“Dati Rilevanti”), ai quali applicare una protezione crittografica.
In questo scenario la formazione delle persone all’uso corretto delle password è diventata un elemento essenziale per proteggere se stessi, la propria organizzazione e la società da qualsiasi attività illecita.
Un esempio tra tutti può essere quello di implementare l’utilizzo dell’autenticazione a più fattori (MFA) sulle credenziali del personale, garantendo una protezione aggiuntiva rispetto alla sola password e rendendo impossibile, in caso di furto o violazione di quest’ultima, accedere all’account senza un altro fattore di autenticazione quale smart card, certificati digitali, one time password (OTP), token (ad es. un’app sul proprio dispositivo), biometria etc.