Sicurezza: autenticazione degli utenti.

Riconoscere i propri utenti per poter poi concedere l’accesso necessario.

Per garantire che un utente acceda solo ai dati di cui ha bisogno, deve essere dotato di un proprio identificatore e deve autenticarsi prima di qualsiasi utilizzo dei mezzi informatici.

I meccanismi che consentono l’autenticazione delle persone sono classificati a seconda che coinvolgano:

• quello che sappiamo, ad esempio una password;
• quello che abbiamo, ad esempio una smart card;
• una caratteristica specifica della persona, ad esempio un’impronta digitale, o il modo di compilare una firma autografa. Ricordiamo che la legge sulla protezione dei dati subordina l’uso della biometria alla preventiva autorizzazione del Garante.

Si dice che l’autenticazione di un utente sia forte quando utilizza una combinazione di almeno due di queste categorie.

Precauzioni di base

Definisci un identificatore univoco per utente e vieta gli account condivisi tra più utenti. Se l’uso di identificatori generici o condivisi è inevitabile, richiedere la convalida  all’Amministratore di sistema di implementare i log per rintracciarli.

In caso di autenticazione utente basata su password, applicare le seguenti regole di complessità delle password:

• almeno 8 caratteri di cui 3 dei 4 tipi di caratteri (maiuscolo, minuscolo, numeri, caratteri speciali), se l’autenticazione prevede una restrizione di accesso all’account (caso più comune) come ad esempio:

• un ritardo di accesso all’account dopo diversi errori;
• un “captcha”;
• blocco dell’account dopo 10 fallimenti;
• 12 caratteri minimo e 4 tipi di caratteri se l’autenticazione è basata solo su una password;
• più di 5 caratteri se l’autenticazione include informazioni aggiuntive. Le informazioni aggiuntive devono utilizzare un identificatore riservato di almeno 7 caratteri e bloccare l’account al 5° tentativo non riuscito;
• la password può contenere fino a 4 caratteri se l’autenticazione è basata su hardware di proprietà della persona e se la password viene utilizzata solo per sbloccare il dispositivo hardware di proprietà (ad esempio una smart card o un cellulare) e che è bloccato al 3° tentativo fallito.

I dispositivi mnemonici vengono utilizzati per creare password complesse, ad esempio:

• mantenendo solo le prime lettere delle parole in una frase;
• mettendo la maiuscola se la parola è un sostantivo (es.: Cuoco);
• mantenere i segni di punteggiatura (es.: ‘);

• esprimendo numeri utilizzando cifre da 0 a 9 (es.: Uno > 1);

Ad esempio, la frase “a Chef d’Entreprise a verti vale due” può corrispondere alla password 1Cd’Eaev2 .

Obbligare l’utente a modificare, dalla prima connessione, l’eventuale password assegnata da un amministratore o automaticamente dal sistema in fase di creazione dell’account o di rinnovo a seguito di una svista.

Cosa non dovresti fare

• Comunicare la tua password ad altri;
• Archiviare le password in un file, su carta o in un luogo facilmente accessibile da altre persone;
• Salvare le tue password nel tuo browser, senza una password principale;
• Utilizzare password a te correlate (nome, data di nascita, ecc.);
• Utilizzare la stessa password per accessi diversi;
• Mantenere le password predefinite;
• Comunicare con mail le proprie password

Cosa dovresti fare

• Preferire l’autenticazione forte quando possibile;
• Limitare il numero di tentativi di accesso agli account utente sulle workstation e bloccare temporaneamente l’account al raggiungimento del limite;
• Imporre un rinnovo della password secondo una periodicità pertinente e ragionevole;
• Implementare mezzi tecnici per far rispettare le regole relative all’autenticazione (ad esempio: blocco dell’account in caso di mancato rinnovo della password);
• Evitare, se possibile, che gli identificatori (o login) degli utenti siano quelli degli account definiti di default dai produttori di software e disattivare gli account di default;
• Usare i gestori di password per avere password diverse per ogni servizio, mantenendo una sola password principale.