@Elena_S
Grazie per il riscontro! Il mio massimalismo, e questo dovrebbe essere chiaro dai miei interventi, e’ avere diversi metodi di identificazione e uso dei dati uno dei quali e’ lo smartphone. Ma non lo smartphone a prescindere, specie quando e’ totalmente superfluo e inutile, senza alcun valore aggiunto. Non so se ha letto uno dei miei ultimi commenti nei quali indico come la Commissione UE tramite la nuova interfaccia di login vada palesemente contro le direttive e i regolamenti UE (eiDAS) con un metodo ne’ descritto ne’ codificato da nessuna parte. Anche tralasciando l’oggetto della questione, un direttore di ufficio UE di importanza strategica puo’ decidere una propria linea operativa e non applicare le regole fondamentali europee?
Peraltro e’ documentato che le istituzioni UE in numerose occasioni non applicano il regolamento GDPR sui dati personali. Iniziamo bene.
Riguardo la sovranita’ digitale e quella energetica, che e’ poi il mio mestiere, sostengo le stesse tesi da alcuni decenni. Ogniqualvolta questo e’ possibile pubblico interventi su media a larga diffusione, anche testate nazionali e internazionali. Potro’ venire accusato di tante cose, ma, spero, non di voltagabbanismo o di ipocrisia.
Nei paesi in via di sviluppo o quelli sviluppati con altre infrastrutture, vedi la Cina, condivido in pieno questa affermazione, ne’ vorrei porci alcun limite.
Ma assolutamente, non mi riferivo mica a te. Le tue posizioni le condivido in pieno, ma scontiamo anni in cui altri le hanno derise e osteggiate e adesso la storia presenta il conto. La cosa che mi infastidisce è però che il conto lo pagano tutti tranne quelli che hanno causato il disastro (che sono sempre ai loro posti, belli come il sole, senza che nessuno gli chieda come mai non si nascondano sottoterra dalla vergogna per i danni causati).
Sono totalmente d’accordo. Visto che sia SPID che CIE utilizzano già un’autenticazione a due fattori perché non riutilizzare l’autenticazione forte a monte?
Che voi sappiate il regolamento eIDAS non poteva già imporre un’autenticazione a due fattori (o in generale di livello 2) agli IdP, senza portars a casa tutta la complicazione di gestire i dispositivi? /CC @ettoremazza@GiP
Non so se ho capito bene la domanda, ma eIDAS non entra in dettagli tecnici. eIDAS definisce i livelli di sicurezza per documenti d’identita’, siti web e sistemi di autenticazione e ne richiede la compatibilita’ in tutta Europa.
Definire UNO standard paneuropeo di documento d’identita’ e di firma digitale sarebbe stato molto piu’ semplice e avrebbe evitato infiniti problemi di incompatibilita’, ma vai a toccare le prerogative nazionali… Peraltro questi standard quando esistono funzionano bene. Le informazioni sul retro della tessera sanitaria sono standard in tutta Europa. Le patenti seguono formati standard. I passaporti pure. Perche’ dobbiamo avere 27 tecnologie differenti per le carte d’identita’ resta un mistero.
Si, ma l’utente europeo lo puoi creare anche entrando con SPID oltre che con la semplice mail+password.
Anche perchè mentre il sito di EULogin ha un requisito di autenticazione base (non conosco la terminologia europea) e quindi mi permette di accedere anche solo con login+pwd, già il sito di EuroPASS richiede un’autenticazione forte. (poi dato che entra in funzione da marzo, non so che modifiche apporteranno ancora)
Mah, credo che la situazione degli IdP sia talmente variegata in europa che si sarebbe rischiato il nulla di fatto, hanno preferito fare da soli, utilizzando quanto già fatto finora per l’identificazione iniziale del cittadino.
@ettoremazza, da quanto ho capito finora, EuroPass utilizza il login “EU Login”, che implementa a sua volta il login eIDAS. Se accedo a “EU Login” via eIDAS (con SPID o CIE) non posso fare tutto quello che posso fare con l’account che si registra invece su EU Login. In particolare l’associazione tra gli ID Federati (sto ancora cercando di capire fino in fondo come sta funzionando).
@dsigno
Ho provato a rientrare in Europass. Richiede login e password, poi l’associazione a un token quale generatore di OTP ma anche un documento ID elettronico. Entro con il documento/ carta identita’, verifiche varie, associo la CI al mio login e password. A questo punto ho accesso all’editore di CV e altri servizi.
Al momento di uscire si apre l’informazione che da marzo occorre ANCHE dichiarare uno smartphone sul quale caricare una app. Un telefonino non smart non va bene.
Ho gia’ scritto agli indirizzi di supporto a chiedere chi abbia avuto questa brillantissima idea, in che cosa il servizio diventi piu’ sicuro rispetto all’uso di documenti digitali personali e se hanno avuto in passato problemi di sicurezza tali da giustificare questo cambiamento. Dubito che risponderanno.
Secondo il principio andreottiano del pensar male ecc. ecc. credo che gli unici problemi veri da risolvere siano un migliore accesso a metadati da parte di Google ed Apple e un ritocchino verso l’alto dei bilanci di aziende quali Samsung.
Huawei, ovviamente, non pervenuta. La app non e’ disponibile. Sara’ per motivi di sicurezza
Volevo dare un apporto a questa discussione in quanto EU login è talvolta farraginoso nei suoi flussi. Se una persona crea un’identità EU login e vi accede correttamente, potrà aggiungere chiavi di sicurezza e altri parametri tra cui un identità federata eID dalla sezione “my account”. Usando questa maniera(piuttosto che passare diretti dal ficep in fase di autenticazione/registrazione) potete usare più spid e cie(ho provato sielte e CIE 3.0) mantenendo la stessa identità lato europeo(e mantenendo lo stesso profilo lato europass).
Come ho già spiegato, questo è vero solo se già non avevi id europass attivi, se le avevi, puoi ovviamente federare gli id, ma il profilo su europass è comunque nuovo.
Grazie per la segnalazione dettagliata, che era stata effettivamente già riportata anche da qualche altro utente.
Il mio dubbio, però, è: benissimo che EULogin abbia l’intento di uniformare il tutto, anche associando le varie utenze sparse qua e là dovute all’ID EIDAS diverso; però, se sono obbligato a creare un account EULogin, con tutte le procedure di autenticazione a due fattori di cui si è discusso, a questo punto perdo tutti i vantaggi dell’Identità Digitale federata a livello europeo…
Il tutto è in evoluzione e sarà da aspettare marzo per capire come entrerà a regime il nuovo sistema di EULogin: la speranza è che possano risultare alternativi l’uso di EULogin e il login tramite il nodo Ficep; sembra però che sarà necessario avere in ogni caso il nuovo account e usare il nuovo sistema di autenticazione, e quindi tutti i vantaggi dello SPID/CIE vanno perduti.
E se questo è l’andazzo, ha senso di esistere ancora il login EIDAS? Non sarebbe meglio integrare solo EULogin a livello europeo, visto che funge da collettore di tutte le varie utenze?
@AM311 Una volta che hai “agganciato” le identita eID alla tua utenza eu login, puoi entrare direttamente via eID(cie o spid), ignorando la parte di MFA/password di EU login(ti serviranno solo per aggiornare le identità federate, ad esempio in caso di smarrimento CIE o dismissione di identità SPID).
@ettoremazza nel mio caso il profilo europass è rimasto invariato, magari sarò unto dal signore ma non ho rilevato identità multiple o dati europass disallineati(ammetto che i nodi ficep italiani mi hanno dato spesso errori e ho usato poco la federazione delle credenziali italiane)
(1) Sul portale generico EU Login chiede Email e Password, che erano gia’ impostate, e un secondo metodo di autenticazione tra:
Security Key / Trusted Platform
EU Login Mobile App PIN Code
EU Login Mobile App QR Code
Mobile Phone / SMS
Token
Token CRAM
Manca un documento di identita’ europeo. Pero’ si puo’ entrare nella sezione “Settings” e associarlo. Fatto. Anzi, rifatto perche’ era gia’ associato. Non cambia nulla perche’ al Login chiede lo stesso uno tra i doppi fattori di cui sopra, ma non credenziali sotto eIDAS.
(2) Provo a entrare sul portale Europass. Per il momento permette di identificarsi solo con Username (collegato a email) e password, ma come secondo fattore richiede uno di quelli listati sopra. Con il documento di identita’ digitale rilasciato in seguito a presentazione di documento valido, visita di persona agli uffici, rilevamento impronte digitali non entro da nessuna parte.
La conclusione che devo forzatamente prendere e’ che a Bruxelles lavorano degli imbecilli, in un limbo scollegato dal mondo reale. Nella mia professione ho avuto a che fare con uffici UE e regolamenti ambiziosi quanto totalmente inapplicabili nella realta’, dai mercati energetici alle emissioni a effetto serra all’efficienza energetica ai rapporti internazionali. In questi giorni vediamo purtroppo a quali rischi si va incontro con troppe promesse e zero sostanza. I meccanismi di definizione del prezzo del gas sul mercato UE sono stati sviluppati e imposti dalla Commissione. Forse dagli stessi burocrati che ora si occupano dell’identita’ digitale.
I quali, richiamando il mio ultimo post, non hanno ancora risposto.
Non mi è chiaro un aspetto e se puoi aiutarmi a fare chiarezza la ringrazio in anticipo.
Se un service provider italiano volesse implementare il login via eIDAS, l’identificativo della persona che si collega da altri nodi transfrontalieri potrebbe essere diverso a seconda dell’IdP che questi va utilizzando. Per spiegarmi con un esempio, così come accade in Italia dove abbiamo n (enne) IdP diversi (CIE + tutti gli SPID provider), una persona potrebbe avere più IdP del paese di origine, ognuno con un proprio id.
Con il login eIDAS, non esiste quindi un identificativo che rimanda univocamente alla persona. Quindi il SP con il login eIDAS si trova impossibilitato ad avere un identificativo univoco legato alla persona (da cui recuperare tutti i suoi dati applicativi).
Il loginEU (adottato da Europass), cerca di colmare questa mancanza, introducendo un sistema IdP europeo che può autenticare sia con un proprio sistema e sia linkare/federare le identità eIDAS. L’identità creata sul loginEU non ha però nessun sistema di registrazione/accreditamento forte.
Dal punto di vista del service provider che utilizza il LoginEU (e.g. Europass): se il login avviene con le credenziali del Login EU, il SP ha nessuna garanzia sull’identità del soggetto, se invece il login avviene via loginEU attraverso l’autenticazione federata eIDAS allora c’è un’autenticazione forte.
@GiP Nella schermata dove chiede la password e il secondo fattore(in quando va a memoria dell’ultimo utente usato), devi dirgli “use a different email address” e da li potrai invocare FICEP col link “sign in with your eID”.
Saro strano io ma eu login nativo mi da meno complessità come flow, gli do utente e pass via gestore password e come secondo fattore una chiave fido2 senza la danza strana del ficep, la scelta di idp e le macumbe di cieid/generatore codici spid.
De gustibus
@dsigno Se si usa EU login con un token di sicurezza penso che stiamo parlando di un livello più elevato dei nostrani, ritengo fido2 più avanzato di una semplice smart card.
Grazie per la precisazione. Non e’ questione di stranezza. Sulla sicurezza del token FIDO2 nulla da ridire, sono d’accordo. La questione e’ piuttosto, dato che molto lentamente tutti i paesi UE si stanno dando strumenti di identita’ digitale e il processo e’ ancora agli inizi, perche’ buttare tutto alle ortiche e pretendere strumenti che conoscono solo informatici o dipendenti delle istituzioni comunitarie.
Gli strumenti di identita’ devono essere in relazione ragionevole all’obiettivo. Non capisco perche’ il documento d’identita’ con il quale posso attraversare confini, salire in aereo, identificarmi come testimone in tribunale, sottoscrivere da un notaio un cambio di proprieta’ o una donazione non va bene per compilare il mio curriculum online. La sproporzione e’ totalmente ridicola. Mentre dal gestore dei sistemi IT di un ospedale o una caserma mi aspetterei si’ l’uso combinato di carta d’identita, FIDO2 e magari anche un OTP generator locale.
E’ necessaria una certa proporzionalita’ e congruenza con gli obiettivi. Chiamiamola pure “sussidarieta’” digitale.
Mi sembra tutto corretto, tranne che credo sia possibile creare il logineu partendo da una cresenziale eidas.
Inoltre aarebbe opportuno che una volta collegata una credenziale eidas al login eu, l’accesso con quest’ultimo fosse considerato come acceso con credenziali di livello 1 eidas.
@matteosaitta
Ho provato a cancellare il mio account e a ridefinirlo da capo. Stesso risultato. Posso associare un documento di identita’ ma questo non e’ sufficiente per verificare il login. Sono richiesti token della Commissione o app per smartphone.
Su Europass si puo’ entrare con Login/ Password o in alternativa eIDAS. Da marzo sara’ obbligatoria la app su smartphone.
Tutte le direttive e i regolamenti sull’identita’ digitale in questo modo sono de facto annullate? E dove sono le direttive e i regolamenti che li sostituiscono?
