sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

Nessun commento:

Posta un commento