Come ben sappiamo sempre piu’ servizi, identificazione, fino la ricezione delle multe sono indirizzati verso PEC, AppIO o fanno uso di un OTP generato su uno smartphone per accedere ad altre caselle. No OTP, no login. Cioe’, no smartphone, no login.
Da giorni (luglio 2023) i giornali riportano notizie sullo smartphone del figlio di un’importantissima carica pubblica, se verra’ sequestrato oppure no. Ora sembra che lo sara’.
A prescindere dalle motivazioni giuridiche, sequestrare uno smartphone nell’era di tutto IT e’ come sequestrare la carta d’identita’, la possibilita’ di fare pagamenti online e moltissimo altro. Ma senza smartphone come fa il nostro ad aprire una casella PEC nella quale il tribunale vorrebbe comunicare con lui? Se non ha PC e lettore per la CIE, come fa a identificarsi in altri contesti? O anche banalmente a chiamare un taxi, senza app?
In breve, non si sta esagerando con lo smartphone e non sarebbe opportuno per le funzioni piu’ importanti potere fare uso di canali secondari che non prevedono lo smartphone in nessun punto della filiera? Proprio come CIE e lettore invece di SPID su smartphone. CIE e smartphone non risolverebbe il problema.
Sempre di oggi e’ la notizia che vuole usi aggiuntivi per lo smartphone
Per l’appunto, non stiamo esagerando? Io spero in uno scenario un po’ come con la globalizzazione, dove ora si cerca di fare marcia indietro. I bassi prezzi della Cina hanno portato a dipendenza dalla Cina (si poteva immaginare prima, no?) Prima di giungere a un punto nel quale una batteria scarica o la mancanza di campo significano la cessazione dei diritti civili di una persona non occorrerebbe pensare a scenari alternativi e senza troppe dipendenze tecnologiche?
Guarda che il sequestro significa che lo consegni, lo copiano e te lo ridanno.
Inoltre puoi sempre comprare un altro smartphone e farti dare una nuova sim con lo stesso numero.
Il cellulare è il modo più comodo per la diffusione dei servizi, visto che tutti (praticamente) ne possiedono uno.
Ci sono software appositi, tieni conto che la sicurezza di moltissimi dispositivi Android è piuttosto bassa.
Ci sono software anche per iPhone che pur non riuscendo ad accedere a tutto, possono comunque accedere a tantissime informazioni, e Polizia e Carabinieri, possono utilizzarli in caso di bisogno.
E comunque la password per accedere al telefono te la possono chiedere.
Non so dal punto di vista giudico cosa accade se tu non gliela dai. cioè se possono obbligarti a dartela.
Di certo in casi come questo non rivelarla sarebbe non andrebbe a favore del possessore del telefono.
Per il sequestro credo che il problema sia limitato e risolvibile come i casi di smarrimento.
Il problema della centralità dello smartphone è legata all’inclusività (economica e di età) ma soprattutto al fatto che è un modello che si appoggia a qualcosa che in assenza di batteria, campo, etc non funziona.
Per quanto odiato da molti, il modello GreenPass garantisce una verifica offline, con una prova (il QR) analogica ed un controllo che non richiede internet (se non sporadicamente per l’aggiornamento della lista di certificati).
Qualsiasi tecnologia ha le sue debolezze dalla leva al cloud.
Un foglio stamoato che mi porto dietro è una tecnologia che si può bagnare, rovinare, prendere fuoco, ecc. Per restare analogico meglio CIE e patente in formato tessera, sono più durature.
In genere, si prendono precauzioni in funzione della gravità delle conseguenze di un malfunzionamento tecnologico.
Se dal buon funzionamento dipende la mia vita, mi porto dietro due batterie di riserva, caricatori fotovoltaici e telefoni satellutari. Altrimenti, accetto il rischio, come si fa in mille altre situazioni, più o meno consapevolmente.
Non so se possano funzionare su quali smartphone, ma esistono sistemi per password coatte quali PAM duress. La password che dai su richiesta coatta non è quella che usi di solito, ma una che esegue uno script iniziale diverso, per esempio per cancellare dati compromettenti.
Ho visto un segno di risanamento quando PayPal mi ha finalmente tolto la 2FA. Adesso posso pagare con la password, senza ricevere uno SMS. Che sollievo!
@ale2021@ettoremazza Un dato tenuto totalmente segreto e’ il tasso di truffe e furti online dipendenti dalla mancanza di 2FA. In molti sistemi alla terza password errata si blocca tutto e occorre resettare l’accesso, con procedure molto piu’ complicate di 2FA. Praticamente tutte le truffe e i furti online usano metodi psicologici per distogliere l’attenzione, nel qual caso anche 10FA non aiuterebbe. Mentre se uno usa la password “12345” per accedere al proprio conto da un Internet Cafe’ con webcam dappertutto e keylogger, muove decine di migliaia di Euro e si dimentica di fare logout, beh, se la e’ andata a cercare. 2FA e’ una soluzione costosa e pasticciata a un problema quasi solo teorico.
Di nuovo, c’e’ qualcuno che sa indicare il tasso di furti online dovuti solo a username/ password e non, per esempio, a phishing et sim.? 2FA e’ una soluzione adeguata?
Il problema del furto delle credenziali è reale e la sempre maggiore adozione della 2FA da parte di molte realtà ne è una diretta conseguenza. Non ho dati statistici da fornire a riguardo, ma penso sia sufficiente la logica per dire che due fattori di autenticazione indipendenti (o più) sono più difficili da superare di uno unico.
Certo! Col GSM che prende male in ufficio devo correre a mettere il cellulare sul davanzale della finestra lato strada. Spesso, se non faccio in tempo devo chiedere che lo spediscano di nuovo. In tal caso ne arrivano due insieme, e al 50% inserisco quello sbagliato…
Per una password che non è “12345” o simili, non memorizzata nel browser, che inserisco dopo avere controllato l’URL, non avendo key-logger installati, mi sembra che l’incremento di sicurezza offerto dall’invio in chiaro su onde radio di un OTP sia circa 0.0%. La rottura di scatole è molto più facilmente misurabile.
@nakis Non ne faccio una questione di logica ma di buonsenso, di praticita’ d’uso e di economia. 2FA obbliga a un passo ulteriore per il login che molto spesso dipende da hardware aggiuntivo. Quindi costi aggiuntivi. Oggi un hacker per entrarmi nel conto dovrebbe indovinare il mio codice di accesso (al momento, 10 caratteri alfanumerici, non coincide con IBAN) e la password alfanumerica (12 caratteri alfanumerici). Al terzo tentativo sbagliato la banca blocca tutto e devo andare di persona a riattivare e-banking. Siamo d’accordo che la probabilita’ che sforino e’ epsilon tendente a zero? A questo punto perche’ devo assoggettarmi alla scocciatura e ai costi di 2FA perche’ qualche credulone alla prima mail nella quale lo minacciano di chiudere il conto riversa tutto il possibile sulla schermata farlocca?
Agli argomenti soggettivi se ne aggiungono di oggettivi, fatti coi quali e’ difficile non essere d’accordo. (1) I dati delle perdite causa mancato 2FA e non per altri motivi non sono pubblici. Cioe’ abbiamo una soluzione a un problema che neppure sappiamo se esiste, e in che entita’. (2) Le banche stanno facendo ove possibile marcia indietro per attutire la scomodita’ d’uso di 2FA. Ad esempio, permettendo di indicare alcuni conti come “sicuri” per i quali non occorre 2FA per effettuare trasferimenti. Ad esempio, riconoscendo l’apparato con il quale ci si collega di solito e accettandolo come secondo fattore. Queste soluzioni sono in palese contrasto con 2FA da manuale talibano, ma significa che il sistema bancario ha ricevuto sufficienti critiche dai clienti per rivedere e attutire l’applicazione di 2FA.
Resto in ogni caso riconoscente a chi mi sa indicare una statistica sul numero di attacchi compiuti contro sistemi con accesso login/ password e le relative perdite.
Il gioco vale la candela?
Sono perfettamente d’accordo con il post iniziale (tra l’altro la discussione ha divagato). Perché devo essere costretto ad avere un cellulare per poter usufruire di servizi primari? Non solo, devo avere un contratto ed una connessione internet, sennò in genere le app non funzionano o perlomeno non le installi. Che poi dev’essere uno smartphone, ma anche uno smartphone supportato… Perché se ho Ubuntu Touch o una versione non più supportata di Android o iOS, o una versione modificata di Android, non va bene ugualmente.
Il problema non è tanto la 2FA (che comunque anche io odio… la demonizzazione di username e password sta toccando vette di follia), quanto il fatto che non ci sia un’alternativa all’uso del cellulare come secondo fattore per alcuni servizi chiave.
È tutta una questione di valutazione pro e contro: con un’unica password puoi essere protetto al più da attacchi brute force (se il servizio viene bloccato in caso di tentativi errati; c’è poi da vedere come si sblocca…), ma non da estorsioni di credenziali di altra natura (nessuno può essere sicuro al 100% che non ci siano software malevoli sulla propria macchina o che la password non possa essere recuperata in altro modo); con la 2FA d’altra parte hai accessi più difficoltosi (sebbene si possa spesso scegliere di certificare una macchina come sicura e usare metodi esclusivamente software, senza bisogno di connessioni e hardware specifico). Quindi quando si può scegliere, servizio per servizio, sta a noi valutare qual è l’approccio più conveniente.
Quando però il danno non riguarda solo noi, ma può estendersi ad altri, ad esempio se la nostra identità potesse essere usata come tramite per azioni malevole, allora la scelta non spetta a noi. Al più si può spingere per l’adozione di metodi software offline (come l’algoritmo TOTP citato).
Tutti gli IdP in realtà usano TOTP, o almeno la maggior parte (a quanto è emerso da alcune indagini). Nessuno però fornisce i secret necessari per poter usare il proprio client, a quanto ne so.
Di client per la generazione dei codici ce ne sono molti, anche liberi e per Linux.
