Seleziona Pagina

Usare un password manager è conforme al GDPR?

Usare un password manager è conforme al GDPR?

I password manager sono un servizio ancora poco utilizzato ma che può diventare fondamentale per una corretta “igiene digitale”, sia in ambito privato che aziendale, e come misura di compliance al GDPR.

Nella nostra vita digitale dobbiamo infatti quotidianamente fare i conti con moltissimi sistemi di autenticazione basati su password e PIN. A partire dai nostri smartphone per arrivare alle caselle di posta elettronica, allo SPID o agli account social, tutti i servizi che usiamo sono basati su una password.

Secondo uno studio di McAfee del 2018, l’utente medio possiede una media di 23 diversi account personali, ciascuno dei quali richiede una password di autenticazione. Se a questi si aggiungono anche i codici dispositivi ed i PIN il numero complessivo supera i 30. Alcune statistiche più recenti evidenziano come, in casi estremi, una singola persona possa trovarsi a dover gestire oltre 100 password e PIN.

Si tratta di un numero di password e codici difficilmente gestibile facendo affidamento soltanto sulla propria memoria. Non sorprende dunque sapere che l’utente medio ricicla sistematicamente la propria password per diversi servizi o che, secondo una ricerca condotta da Google nel 2019 le password più popolari sono ancora oggi “password” “1234” o “qwerty”.

password manager e GDPR quanto sono sicure le nostre password

Una cattiva gestione delle password può portare alla violazione dei propri account, con il rischio di subire la perdita di beni digitali, denaro o di subire le conseguenze, anche gravi, di un furto di identità.

In ambito aziendale, le conseguenze di una gestione non corretta delle credenziali di accesso possono portare a conseguenze ancora più gravi, mettendo a repentaglio la sicurezza delle informazioni commerciali e dei dati trattati dall’impresa.

Prevedere un sistema adeguato di gestione delle credenziali di accesso basate su password costituisce una misura organizzativa fondamentale in ogni organizzazione, in quando riduce il rischio di data breach.

Una valida alternativa ai post-it

Tra le misure che vengono spesso suggerite per organizzare e gestire le password c’è quella di promuovere l’utilizzo di un password manager. Si tratta di un’applicazione o di un servizio web che consente di organizzare tutti i propri codici di accesso.

Una volta memorizzate nel database dell’applicazione, l’utente non dovrà più fare lo sforzo di ricordare tutte le proprie password: gli sarà sufficiente ricordare il codice di sblocco dell’applicazione (la “master password”) e all’interno di essa potrà recuperare tutte le sue credenziali.

I vantaggi dei password manager

L’uso di un password manager semplifica la gestione delle credenziali di accesso e facilita l’abbandono di abitudini molto pericolose e non conformi al GDPR come:

  • Scrivere le password in post-it e bigliettini appesi in prossimità del computer;
  • Riutilizzare la stessa password per diversi account;
  • Utilizzare codici poco complessi e banali;
  • Usare la funzione “memorizza password” su pc e dispositivi mobili e mantenere attive le sessioni di accesso.

Molte applicazioni, inoltre, forniscono delle funzioni molto utili, come la possibilità di verificare in tempo reale se una delle password utilizzate è già presente in un database di credenziali rubate o se uno degli account dell’utente è stato compromesso.

In quest’ordine di idee, l’uso di un password manager permette un notevole passo in avanti per tutta l’organizzazione verso una gestione più ordinata e consapevole delle password. Si tratta di una misura organizzativa molto utile per portare in azienda una maggiore cultura della sicurezza e permette dunque di aumentare il livello di conformità al GDPR.

I pericoli dei password manager

Come tutti gli strumenti, anche i password manager possono essere una risorsa molto preziosa. Possono però diventare, se mal utilizzati, un pericolo per la sicurezza dei dati aziendali. Se la loro diffusione nell’organizzazione non è accompagnata da una adeguata attività di formazione, infatti, questo strumento può essere utilizzato in modo non corretto dagli utenti ed esporre le credenziali aziendali al pericolo di violazioni.

Questo avviene, ad esempio, se l’utente sceglie una master password poco sicura o se la rivela ad altri utenti, l’intero elenco delle sue credenziali gli può essere sottratto in blocco e con una certa facilità.

Allo stesso modo, se si scelgono programmi che non assicurano un livello di protezione adeguata (ad esempio, adottando un livello di cifratura adeguato), il database delle credenziali potrebbe essere violato e un attaccante potrebbe prendere il controllo dei dati.

All’opposto, nel caso in cui l’utente dimentichi la propria master password o non configuri un sistema di backup periodico del database delle proprie credenziali per il caso di malfunzionamento del dispositivo dove ha installato il password manager, potrebbe trovarsi di punto in bianco a non poter accedere ai propri account utente, determinando così una violazione dei dati trattati sotto il profilo della mancanza di disponibilità.

L’importanza di una scelta consapevole

La scelta di introdurre nella propria organizzazione aziendale l’uso di un password manager è una scelta organizzativa importante. I benefici, come si è visto, possono essere notevoli, così come i rischi. Non esiste un sistema ideale, ma ogni organizzazione potrà valutare l’alternativa più congeniale, a seconda delle proprie particolari necessità.

Ad esempio, organizzazioni che ritengono fondamentale la possibilità di verificare il codice sorgente degli applicativi utilizzati potrebbero orientarsi su un’applicazione open source, come keepass.

Organizzazioni che fanno un largo uso di dispositivi mobili, o nelle quali i dipendenti utilizzano più di un dispositivo, potrebbero apprezzare maggiormente applicazioni basate su cloud, tra cui spiccano 1password e lastpass. Questi password manager hanno previsto nei loro listini piani aziendali, che consentono (nei limiti in cui ciò sia una prassi conforme al GDPR) di condividere le credenziali di accesso tra gruppi di utenti.

Le aziende che preferiscono mantenere un maggior controllo sui loro dati potrebbero invece preferire delle soluzioni che consentono il salvataggio dei database on premise o su cloud ibridi o privati, come safeincloudo passbolt.

Trattandosi di una misura organizzativa, anche la scelta del password manager deve conformarsi al principio dell’accountability previsto dal GDPR. Sarà dunque importante documentare le ragioni che hanno portato alla scelta di un determinato applicativo.

Acanto a questa misura, dovranno essere prese in considerazione altre misure fondamentali, come l’abilitazione dell’autenticazione multifattore (MFA) o la revisione delle politiche di scadenza delle password.

Circa l'autore

Francesco Foltran

Coordinatore area Data & IT Law
Avvocato dal 2016, da sempre appassionato di informatica e nuove tecnologie. Esercito la professione forense interessandomi di questioni legate alla protezione dei dati personali, alla cybersecurity ed al diritto dell'economia digitale. Svolgo attività di divulgazione e formazione giuridica e sono stato relatore in convegni, seminari e master universitari.

Archivi mensili

ISCRIVITI ALLA NEWSLETTER