Chi usa un computer per lavoro, ogni giorno si trova a dover digitare un certo numero di password: per accedere al proprio utente, per la posta, per i forums e i siti nei quali è registrato, per accedere alla intranet aziendale e quanto altro.
Ciò richiede uno sforzo non indefferente perchè per sicurezza è consigliabile non tenere memorizzate le password sul computer, specie se si tratta di un pc aziendale e si devono proteggere i dati che questo contiene.
In tal senso ci viene in aiuto il Decreto Legislativo 196 che disciplina la materia della riservatezza e della protezione dei dati personali e che all'allegato B regola, tra l'altro, il sistema di autenticazione informatica come segue:
1. il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.
4. con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. la parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. in caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.
6. il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.
7. le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali.
9. sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. in tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Fin qui si tratta di dettami legislativi ma per la sicurezza dei dati e della propria privacy occorre anche affidarsi al buon senso.
Come si fa a custodire e a ricordare tutte le password?
La legge parla di luogo sicuro e la cassaforte è l'ideale ma se non se ne dispone? Consigliato è un luogo sicuramente chiuso a chiave e accessibile solo agli interessati. Sconsigliabile è invece assegnare la stessa password a tutto ciò che richiede autenticazione per ovvi motivi ma possibilmente fare sì che siano mnemoniche per chi le utilizza evitando le solite scontatissime date, i nomi dei familiari e degli animali domestici.
Il problema sorge in casi di smarrimento o di dimenticanza perchè il rischio è la perdita di dati importanti in caso fosse impossibile risalire ad esse.
Quest'ultimo è il mio caso.
Ho ritrovato una pen drive che davo per persa e che uso a scuola, mi capita di prestarla ai ragazzi per farvi dei salvataggi e utilizzarla e quindi per motivi di sicurezza avevo compresso tutto il suo contenuto in un file .rar che avevo protetto con password. Ebbene, a distanza di anni non la ricordo e non mi è possibile accedervi.
Ho provato tutti i software free che si trovano in rete sia per linux che per windows, anche quelli che vengono definiti miracolosi ma senza successo e per questo motivo non ne cito nessuno. Ho pertanto abbandonato il progetto e mi sono rassegnata sperando che mi torni la memoria che in caso riuscissi a provare tutte le combinazioni possibili ci vorrebbero anni.
Per evitare questi inconvenienti è bene quindi non tenere solo a mente le password ma ripeto, memorizzarle su un supporto, non lasciare mai quelle di default e rispettare quanto prevede il Decreto Legislativo 196.
Ciò richiede uno sforzo non indefferente perchè per sicurezza è consigliabile non tenere memorizzate le password sul computer, specie se si tratta di un pc aziendale e si devono proteggere i dati che questo contiene.
In tal senso ci viene in aiuto il Decreto Legislativo 196 che disciplina la materia della riservatezza e della protezione dei dati personali e che all'allegato B regola, tra l'altro, il sistema di autenticazione informatica come segue:
1. il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.
4. con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. la parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. in caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.
6. il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.
7. le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali.
9. sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. in tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Fin qui si tratta di dettami legislativi ma per la sicurezza dei dati e della propria privacy occorre anche affidarsi al buon senso.
Come si fa a custodire e a ricordare tutte le password?
La legge parla di luogo sicuro e la cassaforte è l'ideale ma se non se ne dispone? Consigliato è un luogo sicuramente chiuso a chiave e accessibile solo agli interessati. Sconsigliabile è invece assegnare la stessa password a tutto ciò che richiede autenticazione per ovvi motivi ma possibilmente fare sì che siano mnemoniche per chi le utilizza evitando le solite scontatissime date, i nomi dei familiari e degli animali domestici.
Il problema sorge in casi di smarrimento o di dimenticanza perchè il rischio è la perdita di dati importanti in caso fosse impossibile risalire ad esse.
Quest'ultimo è il mio caso.
Ho ritrovato una pen drive che davo per persa e che uso a scuola, mi capita di prestarla ai ragazzi per farvi dei salvataggi e utilizzarla e quindi per motivi di sicurezza avevo compresso tutto il suo contenuto in un file .rar che avevo protetto con password. Ebbene, a distanza di anni non la ricordo e non mi è possibile accedervi.
Ho provato tutti i software free che si trovano in rete sia per linux che per windows, anche quelli che vengono definiti miracolosi ma senza successo e per questo motivo non ne cito nessuno. Ho pertanto abbandonato il progetto e mi sono rassegnata sperando che mi torni la memoria che in caso riuscissi a provare tutte le combinazioni possibili ci vorrebbero anni.
Per evitare questi inconvenienti è bene quindi non tenere solo a mente le password ma ripeto, memorizzarle su un supporto, non lasciare mai quelle di default e rispettare quanto prevede il Decreto Legislativo 196.
Nessun commento:
Posta un commento