Alla fine la questione si riduce a questo aspetto. Per passare il secret ci sarebbero numerosissimi metodi sicuri e a prova di hacker. Viene il sospetto che manchi la volonta’ di farlo.
Se ho capito la richiesta, ecco un esempio di statistiche da parte di Norton.
Il punto è che il meccanismo username+password è debole e prono alla violazione, soprattutto con dispositivi ed app non aggiornati o password poco sicure. Di seguito una pagina che stima il tempo per bucare una password.
La 2FA (via app o OTP od altre modalità) prova a rendere il tutto più sicuro ma ocn un’esperienza utente più farraginosa.
Secondo me vale la pena se si parla di soldi, tasse, identità personale etc. Per la tessera fedeltà del supermercato no.
Un’alternativa alla 2FA sono le proposte passwordless che stanno portando avanti varie aziende (es. passkey) ma che non sono ancora “standard” diffuso.
Mi sono espresso male: non lodavo il supporto cartaceo ma il fatto che il green pass fosse usufruibile sia in modalità digitale che analogica, sia online che offline.
Questo permette di offrire un’esperienza elastica ed inclusiva (per età, reddito, etc) agli utienti, lasciando a loro la scelta su come usufruire del “servizio”.
Il “Sixth Report on Card Fraud” della BCE (Agosto 2020) indica truffe su carte di credito nel 2018 dello 0,037% sul volume totale delle transazioni. Questo comprende il phishing e siti farlocchi. E soprattutto si riferisce al periodo prima dell’introduzione di 2FA.
Gli ultimi dati confermano questa percentuale
A fronte di un rischio cosi’ ridotto sarebbe probabilmente preferibile pagare un sovrapprezzo assicurativo dello 0,04% sulle transazioni ed evitare i costi enormi di gestione dell’infrastruttura 2FA. Ma questa scelta non e’ possibile.
Resta pero’ segreto, che e’ quello che mi interessava sapere, quanti accessi illegali hanno luogo ad es. su conti in banca senza la partecipazione attiva del loro titolare (il caso di phishing). Cioe’ con metodi da brute force a key logger.
Riguardo i consigli Norton, li sto seguendo tutti da anni, meno l’uso del Password Manager. Probabilmente ho attualmente a mente due dozzine di password per la faccenda del non riusarle…
1 Mi Piace
Nessun fornitore di Spid/Pec è serio, infatti ho detto “aziende serie”
Ad esempio microsoft lo è, google lo è, ma ovviamente non sono fornitori Spid/Pec.
I fornitori italiani dovrebbero imparare di più dalle aziende serie
In realtà c’è un metodo per farlo con aruba GitHub - andry08/ArubaOTP-seed-extractor: Extract TOTP seed instead of using ArubaOTP app ovviamente non ufficiale
2 Mi Piace
Grazie della segnalazione, ha funzionato perfettamente.
1 Mi Piace
Non ho capito cosa cerchi: se cerchi un report in ambito bancario di casi di physhing in un contesto privo di 2FA per confrontarlo con uno in cui c’è la 2FA, temo tu debba andate un bel po’ indietro nel tempo. Non ho tempo di spulciare l’internet, ma considera che la mia banca usava il 2FA via app già dal 2015 e quella di mio padre almeno 15 anni fa con le chiavette. Perciò se vuoi sapere i costi delle frodi bancarie senza 2FA, dovresti andare a report di 20 anni fa ed ampliare ai casi che non riguardano solo le carte di credito (nelle quali entrano anche altri meccanismi).
In ogni caso nel report che hai condiviso vedo che circa l’80% delle frodi su carte sono fatte nei casi CNP (card not present), cioè quelli in cui non usi la carta fisica e, nei rari casi in cui ti autentichi, usi autenticazioni deboli. Secondo le versioni aggiornate del report le frodi CNP sono in continuo calo grazie alle soluzioni di autenticazione a multifattore e nonostante la crescita del mercato.
@dicaeffe
Ci stiamo avvicinando al punto al quale volevo andare a parare.
Prima delle digitalizzazioni un utente aveva accesso a ogni banca allo stesso modo, con la carta d’identita’. Un cartoncino con un bollo di pochi euro, o altro documento, permettevano operazioni allo sportello.
Con l’arrivo dei bancomat e’ stato creato di fatto il token. Il bancomat richiede infatti l’elemento di possesso (la tessera) e di conoscenza (il PIN). Insomma, 2FA.
Un bancomat non e’ altro che una carta con un chip. Con tecnologia equivalente alla Tessera Sanitaria o alla CIE. Da alcuni anni anche le Carte di Credito hanno un chip a contatto o NFC.
Where is the problem? Ogni banca e ogni gestore di carta di credito ha sviluppato la propria app e una propria metodologia, con un enorme dispendio in sviluppo software e complicazione per i clienti. Non la duplicazione, ma la centuplicazione della scoperta della stessa ruota.
Forse mi spiego meglio con un controesempio. 2FA e’ oggi praticamente sempre smartphone e app. Perche’ allora non utilizzare il bancomat, che nel frattempo e’ carta generica di pagamento? Scenario di pagamento - il bancomat o la carta di credito e’ avvicinata allo smartphone con lettore NFC, o si appoggia sul lettore collegato al desktop (vedi CIE), si inserisce il PIN, la transazione procede.
Il vantaggio sarebbe maggiore sicurezza, maggiore facilita’ d’uso (il cliente riproduce in proprio le stesse operazioni che usa per i pagamenti in negozio, con lo stesso PIN), minori spese di sviluppo. Non si sarebbe vincolati a strumenti particolari, anzi sarebbe piu’ facile sviluppare soluzioni generiche e compatibili.
Sei arrivato proprio all’argomento centrale, che avevo preferito non nominare nei miei commenti. Cioe’ il sistema bancario deve sviluppare un software in forma di app in modo da evitare di usare un bancomat o carta di credito con il cellulare, quando sarebbe piu’ semplice mettere uno accanto all’altro, proprio grazie a NFC. Un malintenzionato ruba lo smartphone? Senza bancomat e PIN non va da nessuna parte. Con la carta di credito virtuale, ha invece qualche speranza in piu’ se sa sfruttare altre debolezze. E questo e’ proprio confermato dal report BCE, che indica la maggior parte delle frodi in scenari CNP, non di uso di carte fisiche.
Infine - allo stesso modo di come e’ riconosciuta in banca, perche’ non si puo’ entrare nel proprio sito e-banking con la CIE o la TS? Anche qui vale il principio 2FA, token e password. Sistema insicuro? Ma con questi si puo’ entrare in una cartella sanitaria o posizione fiscale. Quale sarebbe stato il valore di conoscere queste informazioni riguardo un famoso politico (quello cui viene spontaneo pensare in questo contesto)? Quindi se sono sicure a sufficienza per proteggere la dichiarazione fiscale o la cartella sanitaria dell’ex primo ministro, a maggior ragione dovrebbero esserlo per permettere operazioni sul conto.
In conclusione, resto convinto che la spinta alle app a tutti i costi, senza se e senza ma, stata pensata male, abbia comportato enormi costi sociali e macroeconomici, resti una soluzione a meta’. Secondo il principio del “perche’ semplice, quando si puo’ fare in modo piu’ complicato?” Molto probabilmente alcune grandi multinazionali americane del settore IT non sono estranee a questi sviluppi.
In Italia il modello che mi proponi è in atto attraverso la CIE che…ha oggettivamente perso contro i numeri dello SPID: nonostante moltissimi cittadini l’abbiano nel portafoglio, hanno scelto di usare lo stesso lo SPID, identità digitale che si basa sullo smartphone (app & SMS).
I cittadini evidentemente l’hanno trovato più…comodo? sicuro? facile? non saprei, ma il dato è (ahimè) inappellabile tant’è che le idee per innovare CIE consistono nel renderla…più usabile senza carta.
Alcuni paesi UE hanno adottato le credenziali bancarie come identità digitale, ma non so dirti se hanno richiesto alle banche particolari requisiti tecnici. Da noi le banche avrebbero potuto fare il contrario, cioè abilitare l’autenticazione con CIE/SPID/CNS, ma evidentemente si sono fatte due conti ed hanno preferito un sistema chiuso (di cui non sono fan ma non griderei al complotto, ma piuttosto a scelte più o meno consapevoli degli attori in campo). Il ministro qualche mese fa aveva sottolineato che i provider di identità digitale non sono stati in grado di stimolare il mercato ad usare l’identità digitale anche fuori dalla PA (131 privati contro 14mila pubblici). Non so se c’è un report che prova ad analizzare la causa di questa scarsa adozione nel privato.
Secondo me usando una carta fisica per i pagamenti online non risolveresti molto: pagamenti CNP fatti con carta+NFC non sono diversi a livello di sicurezza dall’impronta digitale o MFA ma possono essere meno user-friendly.
Nella storia la tecnologia che ha vinto non è mai stata la migliore ma quella che univa efficacia ed usabilità (ed abilità di marketing): nel nostro caso quella che da una buona dose di sicurezza ma anche una fluidità di esperienza all’utente. Questo forum è pieno di persone che segnalano difficoltà con la scansione NFC ma raramente hanno problemi con la scansione del QR o dell’impronta digitale.
Non sono un fan della centralizzazione tecnologica intorno allo smartphone, ma sono consapevole che quest’oggetto (insieme ai wearable come lo smartwatch) sono più facili da usare di altre tecnologie e per questo stanno surclassando gli altri strumenti.
1 Mi Piace
Sono d’accordo con le tue considerazioni, alle quali vorrei aggiungere un aspetto strategico. Che e’ una delle questioni che mi preoccupano di piu’ ma lascia la maggioranza indifferente e contenta.
Nessun paese UE ha gli strumenti per gestire in proprio conti bancari e telefonia mobile. Siamo totalmente dipendenti dall’estero, l’unica cosa che facciamo sono programmi applicativi. USA e Cina hanno brevetti e aziende in casa. La Russia da parecchi anni sviluppa le proprie tecnologie integrate in servizi internazionali, vedi carte di credito o Internet, ma in modo tale da poterle usare in modo indipendente. Quando i grandi sistemi di carte di credito l’anno scorso hanno terminato le loro operazioni in Russia, per la popolazione non e’ cambiato nulla perche’ tutti i sistemi hanno continuato a operare allo stesso modo con POS, bancomat, ordini online. Se MasterCard e Visa all’improvviso chiudessero le loro operazioni in Europa, sarebbe una crisi immediata e ingestibile.
Per questo penso sempre a tecnologie che restino controllabili da parte nostra, quali l’identita’ (che puo’ essere cosi’ semplice come la Tessera Sanitaria o un bancomat). In questo caso si sarebbero dovuti ideare flussi di lavoro molto semplici, proprio come presentare il bancomat a un POS, e al contempo sicuri. La maggioranza della popolazione preferisce spolliciare su e giu’ per lo schermo di uno smartphone? Adeguiamoci! Temo che avremo brutte sorprese in arrivo, ad esempio a seconda di come andranno le prossime elezioni USA.
Il post ha generato numerose risposte, quindi un altro commento non so quante possibilità abbia di essere notato. Tuttavia questo post calza a pennello per la situazione in cui mi trovo e mi induce al commento. Il mio cellulare è rotto, è in riparazione, e in attesa di riaverlo sono ritornato ad usare un vecchio telefono che si connette ad internet ma che avendo una decina d’anni andava bene prima della diffusione dell’https (e questo equivale oggi alla quasi totale impossibilità di usare internet o nuove app). In buona sostanza, e per tornare a spid, se tento di usare spid dal computer, dopo l’inserimento di password ecc. arriva il fatidico momento in cui devi usare l’app sullo smartfone per completare la fase di login con generazione di otp. Morale della favola non posso usare spid.
In realtà questa è una condizione in cui mi trovo per scelta del gestore spid che utilizzo; mia moglie ha un gestore diverso, che per un numero di accessi limitato le consente di ricevere il fatidico codice (sempre dopo l’inserimento di id e password) via sms. Ecco in questo caso, se avessi avuto il suo gestore e non avessi superato il limite d’uso degli sms consentiti, sarei potuto entrare perché il vecchio cellulare che sto utilizzando gli sms li riceve. Ma poi penso, se una grossa multinazionale delle carte di credito (ma anche molte banche nostrane) per accedere al proprio account ti permette di ricevere, a tua scelta, il codice sblocca tutto (sempre dopo l’inserimento di id e password) via email o sms, non sarebbe questa la soluzione alle varie situazioni di criticità in cui puoi trovarti?
Il mio smartphone è rotto e finquando non lo ripareranno o, alla peggio, fin quando non lo sostituirò con uno nuovo e funzionante non potrò fare uso di spid (e di tante altre cose che dipendono dalla disponibilità di uno smartphone). Scusatemi se l’ho fatta lunga, ciao
1 Mi Piace
Come già detto esistono, per fortuna, tanti IDP, ognuno può scegliere quello che più fa al caso suo. Anzi dovrebbe sceglierne più di uno (io ne uso sei diversi).
Molti consentono di ricevere, a pagameno, un SMS invece dell’OTP, se uno è più tecnologico è possibile anche installare su un PC il client degli IDP.
Insomma anche se avesse il PC rotto ed avesse dovuto riesumarne uno vecchio con Windows XP avrebbe problemi ad accedere ai siti della PP.AA.
Se si vuole l’online è necessario dotarsi di mezzi funzionanti.
Infine può utilizzare il telefono di sua moglie per il momento.
1 Mi Piace
Questa e’ un informazione chi mi interessa. Chi lo prevede e come occorre procedere? Se pero’ il PC richiede Windows per me il discorso e’ chiuso in partenza.
Stiamo portando avanti questa discussione da anni. Diventerebbe immediatamente superflua se almeno un IDP accettasse di inviare i suoi OTP per email. DI colpo aumenterebbe di parecchio la flessibilita’, poi ogni utente sceglie la via che gli pare. Soluzione tecnologicamente semplicissima, costi di implementazione praticamente zero, tempi rapidissimi. Chi gli impedisce di farlo?
(In altro post ho chiesto chi impedisce agli IDP di aprire uffici di rappresentanza in citta’ straniere con forti concentrazioni di cittadini italiani per offrire SPID, in questo caso a pagamento per contribuire alle spese. Quasi certamente diventerebbe un business lucrativo. Ma anche qui non ci sentono.)
Non sono certamente un sostenitore delle tesi sulle scie chimiche, del chip sotto la pelle o del complotto mondiale sui vaccini. Ma dopo un decennio e piu’ in cui tutto e’ proposto solo sotto forma di app, che occorre avere lo smartphone mentre senza si va incontro a infiniti inconvenienti, e alternative anche semplici e praticamente regalate non sono implementate - qualche sospetto complottista puo’ sorgere, o no?
C’è un modo ancora più semplice, ed è che i provider spid rilascino il secret del totp di modo che la gente possa generarsi gli otp in locale (offline) scegliendo il software di generazione otp (ce ne sono tantissimi) che preferisce, e quelli funzionano sia su pc che smartphone
1 Mi Piace
@pro Concordo al 200%. Ma gli IDP non lo fanno.
E come sarebbe possibile raggiungerli, dato che il flusso di comunicazione e’ filtrato da chatbot, risposte automatiche ecc.?
Forse gli unici che si possono raggiungere sono quelli “statali” (ovviamente per altre vie)
IDP? (stiamo parlando di qualcosa che deve essere alla portata di tutti e non di pochi eletti o smanettoni che dir si voglia).
Non so chi lei sia né che lavoro faccia, non intendevo personalizzare il dibattito ma solo rappresentare una situazione di oggettiva difficoltà nel momento in cui non si possa, per qualsiasi motivo, utilizzare il proprio smartphone (e ritengo che questo richieda una seria riflessione e l’adozione di conseguenti misure). Infine mi chiedo se lei è perfettamente consapevole delle cose che scrive (“usi il cellulare di sua moglie”) senza rendersi conto che stiamo parlando di strumenti di identità digitale. La superficialità della sua replica (non dovuta, non a lei era indirizzato il mio commento) è alquanto disarmante.
Si può fare con Aruba. C’è un post qui al riguardo.