Buongiorno, abbiamo un applicativo che invia e riceve le fatture tramite l’utilizzo di PEC.
Nel giro di anno, tutte le PEC dovranno passare allo standard europeo che dovrebbe prevede l’autenticazione a 2 fattori.
Questo significherebbe avere qualche problema nell’uso della PEC come canale di comunicazione negli applicativi.
Sapete se l’autenticazione a 2 fattori sarà obbligatoria?
Grazie
1 Mi Piace
Non sono in grado di rispondere alla domanda chiaramente posta, ma vorrei aggiungere un quesito piu’ generale. Al momento l’autenticazione a due fattori prevede sempre un’azione manuale, per semplicita’ diciamo reinserire un OTP ricevuto su smartphone o riconoscimento di un QR code. Esistono procedure a due fattori totalmente automatizzate o automatizzabili? Che so, caselle utente su due server diversi e richiesta di identificazione da remoto su entrambe, oppure ricezione di dati tramite un link, qualche elaborazione locale, ritrasmissione. Oppure ancora, se il canale di telefonia con un numero di cellulare e’ assolutamente necessario, la possibilita’ di ricevere OTP anche in automatico via request su un server o ricevimento di email in una casella dedicata. Inoltro da casella SMS a email.
Devo ancora vedere un rapporto costi-benefici sull’uso di 2FA o altre stramberie rispetto al rischio reale nel non farne uso. Quasi tutti i metodi per rubare soldi da conti bancari non forzano credenziali di accesso ma contano su distrazione, creduloneria e altri aspetti molto umani che ovviamente non funzionerebbero con un automa.
Dopo avere visto i risultati con la crisi energetica (prezzo marginale della generazione elettrica, borsa olandese, contratti a breve ecc.) e nel settore IT (pieni poteri ai Big Tech) se la UE apprendera’ di un modo per complicare e possibilmente bloccare del tutto l’identificazione online quasi certamente lo adottera’.
1 Mi Piace
Buonasera, ho fatto dei test con Aruba. Dopo l’attivazione dell’auteticazione a 2 fattori, e’ possibile definire un password (che scadenza periodica) da utilizzare nei programmi di gestione della posta.
Quindi l’unico inconveniente e’ quello di ottenere la password ogni x giorni (forse 60 o 90)
@Luigiakk Grazie per il commento! Trovo conferma che in Europa e in particolare in Italia e’ impossibile pensare a soluzioni sicure e semplici e che soprattutto non si basino su uno smartphone. Che sicuro non e’ per niente. Ci sarebbero dozzine di altri metodi di sicurezza, alcuni molto semplici e a costi bassissimi. Ma una “smartphone-less 2FA” non la offre nessuno. Se qualcuno sa dare qualche indicazione, sarei molto interessato.
Piu’ nello specifico Aruba e altri provider potrebbero permettere il login di conferma con CIE o eIDAS e questo risolverebbe la questione. La CIE e’ un 2FA (token e PIN). Ma non lo fanno. Perche’?
Tra i tanti esempi che mi vengono in mente e’ l’accesso all’Agenzia delle Entrate tedesca. Possibile con diversi metodi tra cui un certificato personale da installare nel browser. Cosi’ entra solo il titolare e non ha nemmeno bisogno di fare Login. Sarebbe la fine del mondo prevedere una soluzione simile anche in Italia e in modo da facilitare operazioni automatizzate?
Ovviamente fino a che i fornitori rinunciano agli sportelli fisici ed evitano accuratamente il contatto personale con l’utenza la questione si complica di parecchio.
una “smartphone-less 2FA” esiste ed è l’unica strada sensata. Si chiama FIDO2 + WebAuthn e si implementa con chiavi hardware (tra le altre opzioni).
Noi la stiamo usando da tempo per l’accesso a Windows, ad AAD, alla posta elettronica, al gestionale, ecc. É uno standard industriale aperto.
i provider PEC dovrebbero abilitare l’accesso alla PEC con OID e si eviterebbe la follia della password che durano 90 giorni a cui andremo incontro, ma si resta indietro e tanti saluti.
1 Mi Piace
La PEC “europea” prevede la certificazione del soggetto mittente.
La 2FA è una delle strade percorribili per alzare il livello di sicurezza non la sola:
"Si noti che la modalità di accesso al suddetto pannello tecnico deve essere una tra quelle previste dall’EN 319 521 [8], Clause 5.2.2 (e riportate qui di seguito per comodità):
a) multi factor authentication mechanisms;
b) mutual TLS authentication, which includes advanced user’s certificate;
c) advanced electronic signature " (cit. da REM services)
In ultimo i fornitori di PEC, per il mercato business offrono la possibilità di personalizzare il tutto.
1 Mi Piace
Quindi cosa cambierebbe per un applicativo che invia PEC e legge quelle ricevute (per alimentare altri sistemi)?
Salve Luigi, se capisco bene ciò che hai trovato con Aruba è una semplice password a scadenza periodica da usare al posto di quella “solita” all’interno dei software.
Parlando papale papale, se ho un’applicazione java in cui utilizzo javamail per tutto ciò che concerne le mail e quindi le pec, non dovrò cambiare metodo di autenticazione ma dovrò unicamente usare una password diversa da quella in precedenza memorizzata dall’utente, sapendo che questa password, a differenza dell’altra, avrà vita breve.
E’ corretto?
Ciao, si e’ corretto.
1 Mi Piace
Se può interessare, ho appena saputo da Infocert che anche su Legalmail presto ci sarà la Application Password che avrà una scadenza di qualche mese. Aggiungono che ciò non toglie che, in futuro, potranno essere valutate/utilizzate altre metodologie più sofisticate.
Qualcuno sa come si sta muovendo Postacert?
io credo che tutti i gestori agiranno all’inizio allo stesso modo, per il semplice fatto che nelle policy IT REM presenti sul sito AgID l’argomento di questa “one time password” è trattato.