Privacy-Proof Passwords: The Authority’s Suggestions

Last October, the Authority for the Protection of Personal Data published a vademecum containing some suggestions for creating and managing passwords to prevent data breaches, which are becoming increasingly frequent.

First of all, with particular reference to the creation of passwords, the Authority clarifies that a good password, to be defined as ‘strong’, must be long enough and composed of at least eight characters. Therefore, the length of the password is undoubtedly the first factor necessary for the creation of resilient passwords. The Authority also recommends including characters of at least four different types, without easily identifiable personal references, and possibly containing invented or disguised words (e.g. ‘coffee’ could become ‘caf-f3’).

In addition, the Authority suggests changing passwords often for the most important accounts – or those used most often.

On the other hand, regarding password management, the Authority recommends using different passwords for different accounts to prevent malicious persons from violating one password and gaining access to each account or mailbox belonging to the same user.

Further precautions include constantly changing temporary passwords generated by any system and not ‘recycling’ passwords already used in the past.

Regarding the storage of passwords, the Authority strongly discourages the writing of passwords on cards or unprotected files stored on personal devices, mainly if they are used by others, and the disclosure of access codes by e-mail, text messages, or social media networks.

Finally, where available, the Authority recommends using multi-factor authentication mechanisms (e.g., OTP codes, one-time passwords) to strengthen protection against unwanted access.

In any case, the first defense against external threats can only be based on the common sense of those concerned, as well as on constant information, through vademecum and suggestions such as those recently published by the Authority, on the risks arising from the use of services offered on the Web.

****

PASSWORD A PROVA DI PRIVACY: I SUGGERIMENTI DEL GARANTE

Lo scorso ottobre il Garante per la protezione dei dati personali ha pubblicato un vademecum contenente alcuni suggerimenti per la creazione e la gestione di password, al fine di prevenire data breach, ormai sempre più frequenti.

Anzitutto, con particolare riferimento alla creazione della password, il Garante chiarisce che una buona password, per definirsi “robusta”, deve essere abbastanza lunga e composta da almeno otto caratteri. Pertanto, la lunghezza della password è sicuramente il primo fattore necessario per la creazione di password resilienti. Il Garante raccomanda, inoltre, di inserire caratteri di almeno quattro tipologie differenti, privi di riferimenti personali facilmente individuabili, che contengano possibilmente parole inventate o camuffate (come ad es. “caffè” potrebbe diventare “caf-f3”).

Inoltre, per quanto riguarda gli account più importanti – o quelli utilizzati più spesso – l’Autorità suggerisce di cambiare spesso le password.

In merito, invece, alla gestione delle password, il Garante raccomanda di utilizzare parole chiave diverse per account diversi, in modo da evitare che eventuali malintenzionati, violandone una, accedano ad ogni account o casella di posta elettronica riferibile allo stesso utente.

Accortezze ulteriori consistono nel modificare sempre le password temporanee generate da qualsiasi sistema e nel non “riciclare” password già utilizzate in passato.

Quanto alla conservazione delle password, il Garante ne scoraggia vivamente la scrittura su biglietti o su file non protetti conservati su dispositivi personali, in particolare se altrui o utilizzati anche da altri, così come la divulgazione dei codici di accesso tramite e-mail, sms o social network.

Da ultimo, laddove disponibili, il Garante raccomanda l’utilizzo di meccanismi di autenticazione multi fattore (ad es. codici OTP, one-time password), in modo tale da rafforzare la protezione contro eventuali accessi indesiderati.

Ad ogni modo, la prima difesa contro minacce esterne non può che poggiare sul buon senso degli interessati, oltre che sulla costante informazione, tramite vademecum e suggerimenti come quelli di recente divulgati dal Garante, sui rischi derivanti dall’utilizzo dei servizi offerti sul Web.