Password

Il GDPR ha abolito le misure minime di sicurezza. Peccato: erano un punto di riferimento.

Ora dovremmo dire almeno 15 caratteri, complesse, uniche (non condivise ne' riutilizzate), 2FA, e gestite da Password manager, meglio senza cloud.

Cosa significa Password ?

Significa alcuni aspetti tecnici fondamentali:

• la prima Password deve essere modificata dall'utente subito, al primo uso
• ogni tot mese va rinnovata
• deve essere di fantasia e con caratteri, numeri, e ogni segno
• tracciare gli ultimi accessi per farli controllare all'utente, inviandogli via email
• crittografia in salvataggio e in connessione

Come vedete c'e' molto di piu' del minimo obbligatorio. Ma per dati finanziari, di pagamento e sanitari, sono persino insufficienti.

Mi piace qui ricordare che le Password non devono impedire:

• la possibilità di delega di un servizio a terzi;
• la semplicità di accesso anche per i diversamente abili;
• il recupero password.

Inutile dire che maggiore sicurezza e' divario digitale, mancata accessibilità, non inclusività digitale, nonostante le rassicurazioni di alcuni.

Il Garante ha un proprio vademecum sulle password.

Da notare l'invito all'uso del Password manager: aggiungo io, un Password manager indipendente dai sistemi operativi e dai browser, in modo da minimizzare i rischi.

Sul fronte sistemi operative FIDO e' il gestionale di Password centralizzato dei produttori che vorrebbero rendere obsoleto l'attuale uso delle password, spostando il rischio su sistemi centralizzati.