Accesso con OTP

Salve a tutti.

Qui c’è un problema.

Un problema che riguarda la privacy e la sicurezza che si presenta sempre in pompa magna, ma alla fine si rivolge contro con degli atteggiamenti normativi o consuetudinali che, a dir poco, hanno del grottesco.

Sta sparendo il servizio di invio SMS per l’accesso di secondo (o di terzo livello). Il che francamente è scioccante.
Innanzitutto chi non ha lo smartphone è costretto a comprarselo per installare la app, ma anche chi ha lo smartphone è costretto a comprarne uno nuovo perché la app, quando si aggiorna, non va bene su tutti i dispositivi, in particolare su quelli più vecchi a un certo punto non si rende più disponibile.
Aggiungiamoci che la sicurezza degli smartphone lascia alquanto a desiderare, è cosa nota, non solo questi dispositivi sono preda di hackeraggio, ma il primo hacker è il fornitore del sistema operativo.
Google per esempio recupera molti dati personali dagli smartphone.

Parliamoci chiaro: i telefoni più sicuri sono quelli che hanno software semplici, i vecchi modelli portatili, quelli con l’antennino, sono i più sicuri. L’SMS è sicuro.
Quindi, che cosa si può fare, che cosa posso fare, per avere il servizio via SMS senza installare vero e proprio SPAM sottoforma di APP su un telefono che peraltro neanche posseggo?

A me lo SPID serve! E vorrei usarlo con l’OTP.

Grazie in anticipo a chi vorrà rispondere.

Ok, ditemi che stiamo scherzando, all’alba del 2020.

Io sono d’accordo con l’autore del messaggio, l’usabilità viene prima di tutto, anche della (eccessiva) sicurezza…

Ma per piacere… SPID ha i suoi innegabili limiti di usabilità, ma pensare che un SMS possa essere equivalente quanto a sicurezza è impensabile. Che l’SMS “è sicuro” non si può sentire. Clonazioni di sim non ce ne sono mai state??? Qui si parla di attestare l’identità di un soggetto, mica roba da ridere…

Io penso che troppi ostacoli e troppi passaggi vanifichino quello che dovrebbe essere l’obiettivo vero: la diffusione! Un meccanismo a nome utente + password + codice pin trovo che sia sufficiente (anche senza app né cellulari né lettori): se uno divulga le sue credenziali si assume la responsabilità del loro uso non autorizzato da parte di terzi, mi sembra una buona avvertenza per usare la giusta precauzione. Non per niente, su 60 milioni di abitanti, siamo …a quanto? Solo 6-7 milioni di utenze Spid? Comprendendo pure i doppioni (c’è chi ne ha più di uno) e le registrazioni obbligate (es. Carta docente e 18app) … chissà come mai? Mi sembra tutt’altro che un successo escludere grosse fette di popolazione meno tecnologicamente “avanzate” … P.S. Nel mio ente per le richieste e prenotazioni di appuntamenti abbiamo predisposto un accesso username+password, e abbiamo avuto un discreto successo, anche presso persone abbastanza estraniate dalle nuove tecnologie, quante registrazioni avremmo avuto se avessimo imposto l’uso di Spid?

Stando a https://www.spid.gov.it/richiedi-spid tutti gli IdP escluso Aruba prevedono l’invio dell’OTP tramite SMS. Alcuni forniscono, a pagamento, un token per generare l’OTP.

Io credo che un secondo fattore di autenticazione di natura diversa dal primo (a scelta fra i tradizionali: qualcosa che so, qualccosa che ho, qualcosa che sono) sia fondamentale.

Mi pare che PosteID, nonostante quanto pubblicizzato, di fatto consideri quasi deprecato l’OTP via SMS (ne permette l’uso per un numero limitato di volte). Non mi piace granché l’idea che uno debba per forza usare una app…

L’app OTP presuppone l’acquisto di uno smartphone di produzione asiatica (soldi nostri che vanno verso Cina e Corea) e la cessione dei nostri dati a Apple o Google.
Tra i provider italiani solo Aruba prevede l’uso di un generatore token per gli OTP ma vuole 10 EUR/anno piu’ IVA. Per un generatore dello stesso tipo di quello che fino a pochi anni fa le banche davano gratis. Con loro come con tutto gli altri provider, inoltre, senza contratto di telefonia mobile la registrazione e’ impossibile.
Nominalmente, pero’, SPID e’ gratis.
E’ lecito sospettare che dietro SPID ci siano enormi interessi commerciali che spingono particolari tecnologie solo per garantire fatturato?
Estonia e Russia sono molto piu’ avanzate dell’Italia riguardo la digitalizzazione della PA. Prevedono metodi di accessi semplici, con alternative e svincolati da soluzioni proprietarie. In Germania l’accesso all’identita’ digitale e’ possibile con alternative Microsoft/ Apple/ Linux, e con credenziali app/ OTP/ generatore token. Perche’ da noi no?

TOTP è lo standard che sta dietro alle app non-Apple-Google di cui si parla nel post precedente, e che permette dunque di usare qualsiasi app su qualsiasi piattaforma (io ad esempio uso SailfishOS) per la generazione di token validi.

Invece PosteID e InfoCert non lo prevedono. Che manica di incompetenti!

Se qualcuno conosce un sistema in Italia che lo preveda, vi prego, mi dica.