Accesso con OTP

Salve a tutti.

Qui c’è un problema.

Un problema che riguarda la privacy e la sicurezza che si presenta sempre in pompa magna, ma alla fine si rivolge contro con degli atteggiamenti normativi o consuetudinali che, a dir poco, hanno del grottesco.

Sta sparendo il servizio di invio SMS per l’accesso di secondo (o di terzo livello). Il che francamente è scioccante.
Innanzitutto chi non ha lo smartphone è costretto a comprarselo per installare la app, ma anche chi ha lo smartphone è costretto a comprarne uno nuovo perché la app, quando si aggiorna, non va bene su tutti i dispositivi, in particolare su quelli più vecchi a un certo punto non si rende più disponibile.
Aggiungiamoci che la sicurezza degli smartphone lascia alquanto a desiderare, è cosa nota, non solo questi dispositivi sono preda di hackeraggio, ma il primo hacker è il fornitore del sistema operativo.
Google per esempio recupera molti dati personali dagli smartphone.

Parliamoci chiaro: i telefoni più sicuri sono quelli che hanno software semplici, i vecchi modelli portatili, quelli con l’antennino, sono i più sicuri. L’SMS è sicuro.
Quindi, che cosa si può fare, che cosa posso fare, per avere il servizio via SMS senza installare vero e proprio SPAM sottoforma di APP su un telefono che peraltro neanche posseggo?

A me lo SPID serve! E vorrei usarlo con l’OTP.

Grazie in anticipo a chi vorrà rispondere.

Ok, ditemi che stiamo scherzando, all’alba del 2020.

Io sono d’accordo con l’autore del messaggio, l’usabilità viene prima di tutto, anche della (eccessiva) sicurezza…

Ma per piacere… SPID ha i suoi innegabili limiti di usabilità, ma pensare che un SMS possa essere equivalente quanto a sicurezza è impensabile. Che l’SMS “è sicuro” non si può sentire. Clonazioni di sim non ce ne sono mai state??? Qui si parla di attestare l’identità di un soggetto, mica roba da ridere…

Io penso che troppi ostacoli e troppi passaggi vanifichino quello che dovrebbe essere l’obiettivo vero: la diffusione! Un meccanismo a nome utente + password + codice pin trovo che sia sufficiente (anche senza app né cellulari né lettori): se uno divulga le sue credenziali si assume la responsabilità del loro uso non autorizzato da parte di terzi, mi sembra una buona avvertenza per usare la giusta precauzione. Non per niente, su 60 milioni di abitanti, siamo …a quanto? Solo 6-7 milioni di utenze Spid? Comprendendo pure i doppioni (c’è chi ne ha più di uno) e le registrazioni obbligate (es. Carta docente e 18app) … chissà come mai? Mi sembra tutt’altro che un successo escludere grosse fette di popolazione meno tecnologicamente “avanzate” … P.S. Nel mio ente per le richieste e prenotazioni di appuntamenti abbiamo predisposto un accesso username+password, e abbiamo avuto un discreto successo, anche presso persone abbastanza estraniate dalle nuove tecnologie, quante registrazioni avremmo avuto se avessimo imposto l’uso di Spid?

Stando a https://www.spid.gov.it/richiedi-spid tutti gli IdP escluso Aruba prevedono l’invio dell’OTP tramite SMS. Alcuni forniscono, a pagamento, un token per generare l’OTP.

Io credo che un secondo fattore di autenticazione di natura diversa dal primo (a scelta fra i tradizionali: qualcosa che so, qualccosa che ho, qualcosa che sono) sia fondamentale.

Mi pare che PosteID, nonostante quanto pubblicizzato, di fatto consideri quasi deprecato l’OTP via SMS (ne permette l’uso per un numero limitato di volte). Non mi piace granché l’idea che uno debba per forza usare una app…