Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


gestione di password, Appunti di Informatica gestionale

tipologia di password validi. Definizione delle tipologie di password, da utilizzare,

Tipologia: Appunti

2020/2021

Caricato il 04/05/2021

cu1988
cu1988 🇮🇹

4.4

(7)

6 documenti

1 / 3

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Gestione delle Password
Non è possibile stabilire a priori una tipologia di password valida sempre e comunque. Occorre definire più tipologie di
password, da utilizzare, eventualmente, per gruppi omogenei di sistemi.
- Sistema di autenticazione: individua con certezza il soggetto che accede ai dati
( permette di individuare con certezza che accede ai dati. Ogni volto che accediamo alla mail dobbiamo inserire nome
utente -password, nel bancomat –PIN)
- Sistema di autorizzazione: stabilisce quali sono i dati cui l’incaricato può accedere, una volta accertata l’identità
Misure minime di sicurezza –Sistemi di autenticazione
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a
un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola
chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza
della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo
dell'incaricato.
5. La parola chiave è composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta,
da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili
all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni 6 mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni 3 mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi
diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente
autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati
personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente
riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a
individuare chiaramente le modali con le quali il titolare può assicurare la disponibilità di dati o strumenti
elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
La scelta della password
Non deve contenere riferimenti agevolmente riconducibili all’incaricato (es. date di nascita, numero di tel)
Deve essere casuale, unica e non prevedibile
Da utilizzare set di caratteri diversi con iuscole/minuscole/Punteggiatura/simboli presenti sulla tastiera (es: \) e non
presenti (es: © - ASCII 184) numeri e gli spazi
pf3

Anteprima parziale del testo

Scarica gestione di password e più Appunti in PDF di Informatica gestionale solo su Docsity!

Gestione delle Password

Non è possibile stabilire a priori una tipologia di password valida sempre e comunque. Occorre definire più tipologie di password, da utilizzare, eventualmente, per gruppi omogenei di sistemi.

  • Sistema di autenticazione : individua con certezza il soggetto che accede ai dati ( permette di individuare con certezza che accede ai dati. Ogni volto che accediamo alla mail dobbiamo inserire nome utente -password, nel bancomat –PIN)
  • Sistema di autorizzazione : stabilisce quali sono i dati cui l’incaricato può accedere, una volta accertata l’identità

Misure minime di sicurezza –Sistemi di autenticazione

  1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
  2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
  3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
  4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
  5. La parola chiave è composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni 6 mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni 3 mesi.
  6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
  7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
  8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
  9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
  10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

La scelta della password

 Non deve contenere riferimenti agevolmente riconducibili all’incaricato (es. date di nascita, numero di tel)  Deve essere casuale, unica e non prevedibile  Da utilizzare set di caratteri diversi con iuscole/minuscole/Punteggiatura/simboli presenti sulla tastiera (es: ) e non presenti (es: © - ASCII 184) numeri e gli spazi

 Per dati particolarmente importanti da una lunghezza standard di 8-15 caratteri passiamo ad almeno 30 (credenziali amministrative almeno Es. Tecnica di costruzione di password robusta

  1. A partire da una frase (es. verso di una poesia o di una canzone
  2. Si cambiano alcune parole (anche senza senso)
  3. Si toglie/aggiunge qualcosa (numeri, punteggiatura) Es. «Nel mezzo del cammin di nostra vita» diventa «All’1n1z10 del cammin della par.tita» i con 1 Esempi di password da non usare  00000000 (Sequenze di numeri uguali)  25041945 (Date di nascita – rif. titolare)  Qwerty, abcdefghi, 12345678 (Sequenze di caratteri della tastiera o alfanumeriche)  Mario1968 (riferimenti al titolare e l’anno di nascita) Check list e buone pratiche per le Password o Verificare qualità della Password utilizzata ( Ci sono dei siti che ti aiutano a capire quale password è la migliore e assegna dei punteggi) o Verificare dove conservare le password (gestori software, google, altri dispositivi la rubrica del tel con numero inesistente, agende cartacee) o Esiste una scadenza da rispettare (non utilizzare la stessa password per tutta la vita) o Evitare le Password condivise (la stessa password per più servizi per esempio non mail e Amazon oppure la banca) o Cessazione attività: prevedere il blocco schermo con Psw (se ci allontaniamo dal posto di lavoro bene che dopo un poco di tempo ritorna necessità delle password) o Prevedere la formazione del personale in merito alle Psw (formazione continua) Sicurezza informatica: classi di attacco Furto di password è di sottrae la password non indovinare (usano i programmi per trovare la nostra password)
  • Le password di accesso al PC sono contenute in un file (lo stesso vale per quelle di accesso ai siti, ecc.)
  • Il furto può avvenire al momento dell’autenticazione o anche durante l’uso ordinario del PC (a causa del malware)
  • rubando il file delle password (contenuto nel PC) e poi decrittandolo con appositi programmi - rimedi ( usare le pagine web dove c’è lucchetto altrimenti non sono protette)
  • non inviare password in chiaro (ma dipende dal sw usato)
  • nascondere file password - Usare metodi di autenticazione a 2 step ( con OTP, accesso alla banca ci chiede un’ulteriore password inviatoci sul un dispositivo differente sul tel)
  • non usare password banali
  • dare scadenza alle password I primi tre rimedi non dipendono dall’utente, gli ultimi due sì. Truffe e inganni (phishing, social engineering) per sottrarre le password
  • si invia messaggio (via telefono, e-mail, fax...) che chiede di effettuare una azione potenzialmente pericoloso, è un messaggio falso che ci fa credere che la richiesta sia dal posto che conosciamo (banca, università) di accedere al sito per modificare la propria password, utente se clicca viene trasformato in una altro sito che sembra reale
  • inviare/modificare password
  • eseguire programma sconosciuto che chiede password
  • rimedi
  • verificare accuratamente le richieste (alla luce di una autenticazione o altri metodi)
  • curare la formazione!! Phishing 1. Ci chiedono le nostre password sul sito che usa la grafica del sito originale  Da password harvesting fishing  Gli utenti ricevono un’e-mail che chiede di fornire numeri di carta di credito o informazioni bancarie