Il 12 dicembre 2023 il Garante Privacy e l’Agenzia per la Cybersicurezza Nazionale hanno approvato le “Linee Guida funzioni crittografiche – Conservazione delle password” (“Linee Guida”)
Il fine delle Linee Guida è quello di fornire, a tutte le imprese e amministrazioni che, in quanto titolari o responsabili del trattamento di dati personali degli utenti conservano le password di questi ultimi all’interno dei loro sistemi, delle raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la loro protezione, in modo da limitare attacchi di cybercriminali.
In particolare, le Linee Guida raccomandano l’utilizzo di funzioni crittografiche di tipo hashing. Si tratta cioè di password non ripetibili che non vengono memorizzate in chiaro nell’archivio, bensì viene salvato esclusivamente il loro digest in modo tale che chiunque non ne possa disporre direttamente.
Infine, le Linee Guida esaminano alcuni algoritmi di password hashting, tra i quali:
- PBKDF2, ossia una funzione di derivazione che applica una funzione pseudo casuale;
- Scrypt, volto a rendere meno efficaci gli attacchi basati su implementazioni hardware specializzate;
- Argon2id, che garantisce una protezione sia dagli attacchi side-channel che da quelli di forza bruta dedicati.