L’autenticazione di livello 2 può essere autorizzata o tramite un codice OTP SMS o tramite l’app PosteID.
Questo è, a mio avviso, in contrasto con le pratiche standard di autenticazione OTP, che non richiedono una specifica app per funzionare. Al momento sono dunque costretto ad usare una app open source e audited per N-1 account, e l’app delle Poste solamente per lo SPID.
Edit: mi riferisco in particolare al provider Poste Italiane. Non so come funzionano gli altri.
Ogni Identity Provider SPID ha la sua app o il suo meccanismo di 2FA proprietario. Spesso sono app che generano OTP esattamente come Google Authenticator, per dire.
Che vuoi farci? Da noi in Italia sembra considerata cosa buona e giusta reinventarsi la ruota ogni volta e rifarsi le cose fuori standard. Ti basti sapere che SPID ad oggi è basato su SAML 2.0, peccato che forzi gli implementatori a fare delle modifiche alle librerie SAML per supportare delle richieste in contrasto con quelle dello standard originale. In questi giorni sono uscite le nuove specifiche SPID basate invece su OpenID Connect, spero che lì le cose siano migliorate… Non penso tuttavia cambi il fatto che gli Identity Provider si fanno i sistemi di OTP in proprio.
Peraltro: ma la tua banca ti consente di usare un generatore OTP open-source? Perché anche lì è una jungla…
Ti suggerisco questo articolo:https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp/
Molto interessante (anche il blog linkato in quell’articolo), grazie!
Vuoi una risposta, per quanto folle?
I token TOTP possono essere barbaramente clonati su più device, ogni IdP fa ogni sforzo possibile per impedire all’utente di clonare il token, che equivarrebbe alla sacrosanta possibilità di avere più device che generano gli stessi codici
Questo non è vero, Almeno Namirial permette di avere più token associati allo stesso account e di sicuro Namirial ,Aruba e Sielte più account sullo stesso token. Ovviamente token diversi generano codici diversi come in ogni best practice di sicurezza, ma entrambi validi.
Senza considerazioni tecniche, probabilmente l’app proprietaria viene preferita per motivi di assunzione di responsabilità. Tutto il processo resta sotto il controllo dell’IdP.
Sempre senza considerazioni tecniche, la butto li’ e chiedo, visto tutto il rumore che si fa sull’uso di soluzioni cloud (GAFAM e anche non): il TOTP universale (Google Authenticator, Authy, Duo ecc.) puo’ incappare anche in problematiche di questo tipo?