Key4biz

Password a prova di privacy, l’autenticazione a più fattori (MFA)

La password equivale ad una “chiave”, un “lucchetto” che rivela la chiara volontà di non consentire l’accesso a dati e informazioni a soggetti terzi privi di autorizzazione. Di conseguenza la gestione delle password rappresenta un aspetto fondamentale della sicurezza informatica e della protezione dei dati personali: secondo il Verizon’s Data Breach Investigation Report (DBIR) 2023, la proliferazione di crimini cyber è in larga parte dovuta a credenziali rubate o compromesse.

In questo scenario si colloca l’iniziativa congiunta dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Garante per la protezione dei dati personali, con la pubblicazione a dicembre 2023, di Linee Guida tecniche, rivolte a tutte le imprese e le Amministrazioni pubbliche che, in qualità di titolari o responsabili del trattamento dei dati, conservano sulle proprie piattaforme le password degli utenti.

Le linee guida hanno l’obiettivo di fornire indicazioni e raccomandazioni sulle funzioni crittografiche attualmente più sicure, incoraggiando l’uso della crittografia come strumento di cybersicurezza, in grado di garantire un livello di protezione efficace e duraturo.

Anche AgID a maggio 2017, ha emanato delle “Misure minime di sicurezza ICT” a protezione dei processi interni delle Pubbliche Amministrazioni. Il documento AgID richiede un’analisi preliminare di tutti i dati, al fine di individuare quelli che necessitano di particolari requisiti di riservatezza (“Dati Rilevanti”), ai quali applicare una protezione crittografica.

In questo scenario la formazione delle persone all’uso corretto delle password è diventata un elemento essenziale per proteggere se stessi, la propria organizzazione e la società da qualsiasi attività illecita.

Un esempio tra tutti può essere quello di implementare l’utilizzo dell’autenticazione a più fattori (MFA) sulle credenziali del personale, garantendo una protezione aggiuntiva rispetto alla sola password e rendendo impossibile, in caso di furto o violazione di quest’ultima, accedere all’account senza un altro fattore di autenticazione quale smart card, certificati digitali, one time password (OTP), token (ad es. un’app sul proprio dispositivo), biometria etc.

Exit mobile version