Buonasera a tutti. Gestiamo per conto di alcune amministrazioni comunali dei portali tematici on line, per la cui fruizione non è richiesta agli utenti cittadini alcuna procedura di login (identificazione o autenticazione che sia). Di contro il personale comunale addetto alle attività di back-office dei portali (consultazione di aree riservate del portale, aggiornamento di alcuni dati o utilizzo di alcune funzioni di elaborazione documentale) accede ai portali (mediamente n. 2 utenti per ente) mediante un semplice processo di login con nome utente e psw. La domanda è: in questo caso è ugualmente obbligatorio attivare sui portali il sistema di identificazione SPID per l’accesso del personale comunale addetto al back-office? PS i portali non sono interconnessi ad nessun sistema terzo ove è richiesta identificazione.
Da quel poco che avevo capito, SPID/CIE è obbligatorio se si espongono servizi ai cittadini, per un semplice backend interno bisogna usare un sistema sicuro(al giorno d’oggi semplice password è forse un filo troppo poco) ma discrezionale all’ente.
condivido la tua opinione
Obbligatorio no, ma sarebbe figo che nel tempo succedesse 
Sul discorso generale “SPID obbligatorio” (non solo per chi lavora in una pubblica amministrazione) vorrei far notare che al momento non esistono alternative che io sappia a:
- una App legata ai Google Play Services
- una App legata all’ Apple Store
Ho chiesto a qualche provider se forniscono OTP service via ad esempio SMS o chiamata o email alternativa a quella delle credenziali per lo SPID e mi dicono che sarebbe una soluzione ad hoc solo per casi specifici.
Nel mio caso con un telefono scollegato da Google o Apple lo SPID è bloccante nell’accedere a tutti i servizi web normali.
Ho dovuto stare sull’alternativa CIE/CNS con tutte le difficoltà del caso (lettori contactless, contact, driver che funzionano oppure no su Linux ecc).
Sielte SPID fornisce OTP via sms (10 sms gratis, dopo paghi) se vuoi evitare l’installazione di app
Continua a sfuggirmi perche’ non usano, almeno come opzione, semplici email. Costo zero e piena sicurezza. E se anche un hacker legge il contenuto “123456” senza conoscere a quale pagina l’utente ha accesso che cosa se ne fa? In ogni caso del livello di sicurezza dovrebbe decidere l’utente in base alle sue considerazioni, non il fornitore in base a quanto gli e’ piu’ comodo.
@GiP Se non si usa SMIME il messaggio va in chiaro in tutti i suoi passaggi, quindi è come gridare al mondo un codice che dovrebbe esser riservato. Preferirei piuttosto usare cose some FIDO/FIDO2 che non richiede app di terze parti e supporta tutti i browser noti ai più.
Perfino questo forum supporta FIDO2, non è chiedere di andare sulla luna
sono d’accordo con una certa riservatezza dell’informazione, pero’ occorre considerare gli obiettivi e la facilita’ di uso. Se per entrare su un sito di stato ho bisogno di una password e di un codice tipo OTP non credo che il rischio che un esterno possa leggere la mail sia tale da giustificare le complicazioni nella protezione del codice. Il fantomatico hacker dovrebbe avere accesso in chiaro alla comunicazione HTTPS, cosa piuttosto improbabile. Eppoi cosa gli interesserebbe, ad esempio, la mia posizione INPS, sempre che conosca l’italiano a un livello tale da capire i testi della PA nazionale? In sostanza, nell’identificare un compromesso tra protezione dei dati e facilita’ d’uso temo che la bilancia penda troppo verso la protezione dei dati.
Sinceramente almeno da PC più facile che entrare con il QRCODE non vedo nulla. e anche sul telefono copiare un otp mi pare il minimo sindacale.
Io spero che comincino ad usarla anche i privati, così la gente si mette il cuore in pace. Le banche impongono qualsiasi cosa e nessuno si permette di contestare, qua solo perchè siamo l’amministrazione pubblica, vogliono tutto, subito, gratis e facile.
Il problema e’ quando non si ha un aggeggio portatile. Per i motivi piu’ disparati, ma sara’ questione personale di ognuno come organizzare la propria comunicazione. Continuo a non capire perche’ forzare l’invio di un OTP per SMS o di un link per QR code quando una email puo’ convogliare la stessa informazione. Non obbligatoria, ma a scelta. Moltissimi siti verificano identita’ e credenziali con link che restano attivi per un limitato periodo di tempo. Tutto quello che sto chiedendo e’ che almeno venisse prevista questa alternativa, che e’ a costo zero e implementazione facilissima. Senza imposizioni. Vuoi il QR-code? Eccolo! Hai un vecchio cellulare e preferisci un SMS? Inviato! Preferisci il link per email? Servito! Ma non viene fatto.
una mail normale non ha la stessa sicurezza, almeno a mio parere, non hai la quasi certezza che venga recapitata al titolare come con il QR code o SMS che sono legati ad un dispositivo strettamente personale. del resto anche le banche ti danno il generatore di OTP se non hai l’app
@GiP Credo che la soluzione più corretta sia quello che offrono i giganti di internet, puoi usare un programma di generazione codice dai tuoi telefoni o se hai problemi mistici ti compri una chiave fido. SMS, email e altre balle sono tappabuchi, ciascuno con i loro problemi di uso e sicurezza.
Infatti sono obbligato ad andare ai terminali in banca, che e’ un’enorme scocciatura. Ho avuto e-banking da quando l’hanno introdotta, mai un problema. Con l’autenticazione a due fattori la faccenda e’ chiusa.
Se la banca o l’Agenzia delle Entrate mi devono inviare un OTP, per me possono benissimo stamparlo sulla prima pagina del Corriere o della Repubblica, a caratteri cubitali. Un hacker che conosca la sequenza OTP o il link di conferma se non e’ nel mio circuito di comunicazione HTTPS non puo’ farci assolutamente nulla. E quasi certamente ha altro da fare. Se deve entrare in un conto in banca, quello di Bill Gates e’ certamente molto piu’ interessante del mio.
Da persona adulta e che segue queste problematiche, posso scegliere, a mio rischio e pericolo, di avere una sicurezza leggerissimamente inferiore in cambio di un maggiore comfort e dell’evitare di procurarmi un cellulare? Banche e fornitori SPID hanno gia’ deciso per me: non si puo’.
Sui siti della PA entro con CIE o con TS, quindi il problema per me e’ risolto. Anche le banche potrebbero prevedere questa alternativa, nei paesi nordici e dell’Est Europa lo fanno gia’, in Italia purtroppo no.
@GiP Hanno annunciato attacchi capaci di forare autenticazioni https proprio in questi giorni Browser In The Browser (BITB) Attack | mr.d0x quindi lo scenario di assoluta sicurezza che descrivi non è più così automatico. Chrome e co hanno troppi pezzi al loro interno e quindi ogni giorno si scoprono nuovi vettori per fregarti le credenziali spid(che grazie alle follie italiane hanno un valore di FEA quindi non così indolore come pensi).
Non so come sia negli altri paesi, ma il problema credo che sia che se il sistema non è sicuro e ti rubano i soldi, loro sono costretti a rifonderti, perchè è il LORO sistema a non essere sicuro. da qui il fatto che costringano a determinati livelli di sicurezza.
alla fine ritorniamo al punto di partenza. Allo stato attuale delle conoscenze la migliore sicurezza e prova di identita’ e’ fornita da un token crittografico, cioe’ un oggetto fisico non replicabile in possesso dell’utente insieme a un codice per lo sblocco, il PIN e che usa un sistema a doppia chiave per la verifica di login. SPID e’ volutamente basato sul cellulare come token, ma il dovere sia riconoscere l’identita’ da remoto al momento della prima attivazione sia autenticare l’utente durante i login comporta dei problemi di facilita’ o meno di uso cosi’ come di sicurezza. Un paradosso SPID e’ che la prima verifica di identita’ puo’ essere effettuata con l’aiuto della CIE o della Tessera Sanitaria, ma allora tanto vale usare queste ultime direttamente per i login senza passare da SPID.
Se poi qualcuno trova il modo di craccare il sistema a doppia chiave in tempo reale, allora saltano quasi tutti i meccanismi di protezione mondiali, CIE e Tessera Sanitaria sarebbero il problema minore.
Le regole per l’accesso remoto a servizi bancari sono fissate dalla UE tramite diversi regolamenti. Probabilmente si sono trovati di fronte a un dilemma. Da un lato facilitare le operazioni online in modo da sostenere e sviluppare il commercio, dall’altro ridurre al massimo gli abusi. Le regole prevedono in certi ambiti responsabilita’ delle banche. Al momento dell’implementazione hanno tutti fatto riferimento a cellulari e soprattutto smartphone, anche se questi non sono esplicitamente previsti dai regolamenti UE.
Ci sono due paradossi. Ricerche di mercato indicano che nella maggior parte dei casi gli utenti usano uno smartphone per identificare un prodotto o servizio ma poi eseguono l’ordine da un PC. Operando da PC un token di sicurezza ad esempio con doppia chiave oppure con un OTP generato da un algoritmo privato e sulla base di codici inviati dalla banca, tipo la banca indica “546322” e il device risponde “230192” da usare come OTP batte in sicurezza qualsiasi altro metodo. Come gia’ indicato in precedenza, questi metodi non dovrebbero essere obbligatori ma almeno venire offerti come opzione.
Il secondo paradosso e’ che - dati ufficiali BCE - le truffe online sono molto ridotte e quasi tutte su basano su metodi di social engineering, non di accesso a software e codici. Nel 2019 l’ammontare dei pagamenti abusivi era dell’ordine dello zero virgola qualcosa percento. Io direi volentieri, tenetevi l’1% della transazione per un fondo antitruffa e lasciatemi operare con e-banking in semplicita’. Tantopiu’ che diversi %% sono addebitati in ogni caso. Cioe’ veniamo forzati a pagare software sempre piu’ sofisticato a un costo maggiore del potenziale danno che rischiamo non usandolo. Questo non va bene. In pratica, paghiamo software house per complicarci la vita, qualcosa non torna.
D’altronde buona parte della nostra economia e’ basata sul generare artificialmente bisogni che ci troviamo obbligati a soddisfare - pagando.
Le banche impongono qualsiasi cosa e nessuno si permette di contestare
Non mi piace leggere questo tipo di cose. Io mi sono di recente ristabilito in Italia dopo decenni e proprio perché le banche (italiane) fanno così mi sto attrezzando diversamente con conti correnti esteri. Il mio commercialista mi guarda come un alieno, i miei conoscenti come un pazzo. Io di sottostare alle inconsistenze burocratiche italiane cerco di evitarlo dove possibile.
Si mette un processo mastodontico attorno a qualsiasi necessità dell’utente e si creano possibilità di scappatoia ad ogni step, con sovrapposizione di competenze e generale situazione di “non è problema mio” che fa lavare le mani a tutti. Da chi decide a chi è allo sportello. Da chi ha progettato e implementato, a chi lo impone.
Mettere passaggi OTP con mezzi semplici tipo le email, le chiamate al telefono o gli SMS è libero da catene a servizi privati. Almeno come opzione alternativa a tutte le altre cose. Io apro conti correnti, conti di brokeraggio UE ed extra UE facendo foto al mio passaporto con procedure snelle che riconoscono cosa c’è nella foto e mi danno supporto via email. Mi sembra una cosa che potrebbe succedere anche nella pubblica amministrazione. Non è così insicuro come si vorrebbe far credere, perché appunto le informazioni sono spezzate in vari dispacci.
Per quanto riguarda “la sicurezza”: se spezzare le informazioni in molteplici dispacci è considerato insicuro, allora io rispondo che il mito della sicurezza è sopravvalutato. Tutto è bucabile e si tratta solo di adattarsi alla “arms race”. Abbiamo paura del man in the middle attack con la configurazione di internet come è oggi? Il rischio zero non esiste.
Concludo con un aneddoto: per accedere ai servizi per la Camera Di Commercio per la mia Azienda devo usare la loro CNS che chiaramente funziona solo per i loro servizi (ennesima sovrapposizione). Mi presentano una procedura mastodontica da fare SOLO allo sportello con 6 passaggi di codici OTP che mi arrivano via email sul mio cellulare e attraverso i quali devo dare consenso ad aver letto documenti PDF di termini e condizioni da decine di pagine. Chiedo perché tutta questa procedura non possa essere fatta asincronamente da casa: mi rispondono che devono verificare che la foto sulla mia CIE corrisponda alla mia faccia (da notare che la mia CIE contiene gli ennesimi certificati che potrebbero rimpiazzare la loro CNS con tutti i problemi di driver che si porta dietro).
Alla fine della procedura la CCIAA mi deve mandare un PIN via email con un PDF che si autodistrugge entro tot ore: io rispondo che non ho una stampante. Allora mi propongono di collegarmi alla mia email dal loro terminale così mi stampano il PDF oppure di inoltrarglielo alla loro casella di posta condivisa… Esco sbalordito dai loro uffici con l’ennesima CNS e una stampa PDF del PIN. Sarà sicuro così.
@matteosaitta
Prima avevo saltato questo messaggio, sorry. La chiave FIDO andrebbe benissimo, a tutti gli effetti e’ un token con verifica di identita’ (la consegnano di persona). Ma anche questo non viene fatto.