SPID e condanna a dover possedere uno smartphone

Per recuperare l’account se mi rubano il cellulare, ad esempio. Altrimenti l’alternativa diventa il ripresentarsi di persona da qualche parte e dichiarare che si vuol azzerare tutto (account, cellulare, password)

Grazie per la risposta! Una motivazione oggettiva. Pero’ se la email e’ sufficientemente sicura per recuperare un account allora dovrebbe anche esserlo per inviare i codici OTP e tenere il nr di cellulare come backup. Cellulare che a questo punto potrebbe appartenere ad altra persona.
Da AgID sarebbe bello vedere una tabella con dati sulle percentuali di rischio per quali tecnologie e in quali situazioni, le motivazioni effettive per cui hanno fatto particolari scelte, in alcuni casi in controtendenza con il resto del mondo. Piu’ in generale, la maggioranza degli attacchi informatici in tutti gli ambiti non e’ tecnologica ma si basa su “human engineering”, cioe’ sul presentare all’utente informazioni fuorvianti, ma credibili. Molto piu’ facile che non intercettare email o SMS sulla rete.

Una casella email può essere facilmente condivisa tra persone diverse (basta avere le credenziali), è invece ben più difficile condividere uno smartphone: credo che questo possa essere considerato l’elemento di maggior sicurezza che ha portato alla scelta di un dispositivo di carattere più strettamente personale.

Visto che le truffe con phishing tutti uguali hanno (purtroppo) ancora enorme successo in Italia, penso che la mail sia decisamente rischiosa per applicazioni che diano la garanzia dell’identità del soggetto. Poi c’è anche lo human engineering, ok, ma una enorme fetta della popolazione crede ancora alla mail sgrammaticata che chiede il pin della banca perchè la banca l’ha perso!
Il reset di un account è una operazione eccezionale, penso che un utente stia più attento a quella specifica mail se gli arriva, mentre se ne riceve moltissime una ogni volta che deve accedere a un sito, è più facile che gli scappi il clic in automatico anche a quella farlocca. No?

1 Mi Piace

Si, anche se qui si sta parlando sempre di codice OTP, quindi una serie di numeri e lettere, niente link su cui cliccare per fortuna.
Il problema di base è che allo stato attuale quelli che si occupano davvero di sicurezza affermano che ne gli SMS ne le mail sono considerati sicuri come canali per l’invio degli OTP o comunque per verificare l’identità di un utente, è questa è una delle ragioni che ha portato le banche a passare ad app dedicate con sistema di notifica.
Nel caso uno debba per forza utilizzare uno di questi due canali gli SMS vengono comunque considerati preferibili, perché meno soggetti ad azioni di phishing o attacchi man in the middle, ecc, da parte di malintenzionati.
E basta guardare quanti in Italia negli anni passati si sono trovati con l’account mail o quello di FB rubato, tramite la classica mail sgrammaticata che chiedeva username e password.

Riguardo alla alla sicurezze degli SMS e più in generale delle SIM, basta andarsi a rivedere il famoso caso di Ho mobile all’inizio del 2021 che l’ha costretta a rigenerare il ICCID per tutti gli utenti coinvolti, ma basta anche cercare le parole “SIM swapping”.
Insomma entrambi i canali non dovrebbero essere utilizzati, ma lo sono perché sono quelli di più facile accesso per la maggior parte degli utenti, l’alternativa è l’utilizzo di un generatore di codici OTP, sul computer e sul cellulare, oppure una App dedicata con sistema a notifiche, ad esempio quelli di Poste, hanno recentemente aggiunto questo sistema per l’autenticazione SPID, quindi non ti serve più nemmeno inserire username e password dello SPID, ma vieni mandato direttamente alla App, ed autenticato li con la biometria, una volta dato il consenso rivai al sito confermi di voler condividere quegli specifici dati e sei dentro.
Purtroppo anche tutti questi metodi hanno i loro pro ed i loro contro.

@Giulia_Bimbi @Elena_S Le vostre argomentazioni sono certamente valide e comprensibili. Pero’ la soluzione per chi ha aperto questo topic, per me e per altri che sono intervenuti non puo’ essere il dovere comprare un telefonino o smartphone e pagare un abbonamento di telefonia mobile per entrare qualche volta l’anno in servizi pubblici. Ho usato e-banking dal 1995 e fatto regolarmente acquisti e pagamenti online con carta di credito, mai avuto un solo problema. Qualcuno si e’ messo in testa che occorre l’autenticazione forte e di basarla sul cellulare o smartphone e ora sono tagliato fuori dai servizi bancari. Non possiamo fare dipendere la nostra esistenza da un unico oggetto. Inoltre, se anche comprassi uno smartphone non andrebbe bene, occorre Android il che significa farsi tracciare da Google. La legge europea o italiana non puo’ di fatto imporre ai propri cittadini di passare i propri dati a una societa’ americana e di effettuare acquisti in Asia per godere di diritti locali. Per risolvere parte del problema sarebbe sufficiente rendere le app compatibili con f-droid o installabili su PC. Ma non viene fatto.

1 Mi Piace

L’alternativa c’è ed è stato anche detto in passato usa la CIE, con un lettore desktop.
Oppure la CNS, i maggiori siti statili tipo AdE e INPS permettono il riconoscimento con SPID CIE e CNS.

Alcuni suggerimenti per evitare problemi privacy:

  • usare il telefono furbo come token (grossino)
  • dopo l’uso per autenticarsi, riporlo spento nel cassetto e usare un telefono stupido invece
  • su Android loggarsi con nome farlocco e non dare al sistema il numero di telefono
  • quando serve usarlo sotto wifi e dismettere la linea sim dopo il primo avvio
  • disattivare la posizione, non usare reti sociali e acquisti.

Fatto ciò, i problemi di privacy sono pochi visto che le multinazionali hanno interesse nei dati di valore commerciale ( e non in quante volte uno si logga su INPS).

Ma naturalmente questo non risolve i pruriti di principio.

No, non e’ possibile che la banca acceda alla chiave della CIE. E si’, in alcuni paesi UE la CI elettronica e’ usata per l’accesso ai servizi bancari.

Mi spiego meglio: una smartcard e’ concepita in maniera tale per cui le chiavi non possano essere estratte dalla stessa, almeno non senza apparecchiature molto sofisticate. Nei casi normali d’uso la chiave non esce MAI dalla smartcard: non puo’! La chiave viene usata per algoritmi (tipo firma digitale) in modo da poter verificare che l’utente l’abbia inserita. Algoritmi che vengono eseguiti da un processore all’interno della card (percio’ “smart”); fuori dalla card escono solo i risultati di questi algoritmi. Il caso facile e’ quello della firma digitale: chi deve verificare la firma dispone solo della chiave pubblica, la chiave privata e’ quella necessaria per firmare e non esce dalla smartcard, mentre ovviamente esce il risultato dell’elaborazione (in questo caso il documento con l’aggiunta di firma digitale).

Per questo la CIE e’ intrinsecamente piu’ sicura dello SPID. Infatti, nel caso dello SPID livello 2, c’e’ una chiave condivisa (il secret TOTP, che serve a generare gli OTP) che viene trasmesso su canali insicuri (quindi “esce”). Lasciamo perdere il fatto che ogni fornitore del servizio abbia la propria app: in realta’ questa chiave condivisa puo’ essere intercettata (con un po’ di fatica, c’e’ un articolo gia’ citato che descrive come puo’ essere fatto).

Per quel che riguarda i lettori compatibili, va detto che i lettori NFC che si dichiarano compatibili con lo standard della CIE in genere funzionano. L’unica accortezza che mi sono posto nell’ordinarne uno e’ che avesse il firmware aggiornabili, dato che il funzionamento difettoso su alcuni lettori dipendeva dalla versione del firmware (non aggiornabile).

3 Mi Piace

Buongiorno lei riesce a fare funzionare il middleware cieid in linux?

Mi dispiace ma io uso Mac, comunque qui ci sono diversi utenti linux, se provi a spiegare dettagliatamente il tuo problema, sono sicuro qualche aiuto lo trovi.

Era solo per dirle che l’alternativa che suggerisce non è sempre facile con linux.

Ho installato CIE con Linux e funziona. Il problema principale e’ che la documentazione non specifica da nessuna parte che occorre un ambiente Java e la cosa mi ha fatto perdere diverse ore. L’applicazione si bloccava senza specificare perche’. Alla fine, con Java, tutto a posto. CIEID ha forse qualche passo e qualche schermata di troppo, le solite conferme sul trattamento dei dati personali, ma funziona.
Piu’ in generale, riguardo le richieste di conferme sulla privacy, mi sembra un’ossessione eccessiva. Se uno installa una app, mette la CIE sul lettore, inserice il PIN, dovrebbe essere chiaro che’ da’ il consenso a che i suoi dati vengano elaborati. C’e’ forse chi arrivato al quel punto rifiuta il consenso? Che non installi la app!

Con Linux e *nix in genere nulla è facile, il divertimento sta proprio li. :slight_smile:

Per fortuna da 15 anni a questa parte non è più così (per la parte “nulla è facile”). Per questo i problemi con il middleware 1.4.0 e 1.4.1 descritti in vari post non sono comprensibili.
Rimane la parte "divertenti’ che da 15 anni a questa parte è sempre aumentata.

Ed ecco che il caso di un utente del forum ci fa capire quano SPID sia meglio di CIE (o perlomeno siano complementari e necessari entambi).
L’utente ha perso il portafogli con la CIE e la tessera sanitaria, non aveva SPID perchè usava la CIE per l’autenticazione.
Ora non può più accedere a nulla, deve aspettare di avere una nuova tessera sanitaria in 15 giorni per potere richiedere SPID, ovvero di attendere i tempi (molto più lunghi) per avere una nuova CIE.

SPID/CIE è la chiave per tutti i servizi: deve essere facile (ma sicuro) da ottenere, facile da utilizzare, quindi lo smartphone è la scelta da privilegiare, in quanto nelle mani di tutti e facilmente sostituibile in caso di rottura o furto.

Ci sono - incredibile! - paesi dove l’appuntamento lo danno in due giorni. Inoltre presentandosi di persona a un ufficio comunale con supporti credibili, ad esempio lo scan di un passaporto, si possono ricevere nuove credenziali all’istante. Buona parte dei paesi europei utilizzano ancora la carta d’identita’ con il chip a contatto e riescono lo stesso ad avere una pubblica amministrazione piu’ efficiente di quella italiana, sia quella analogica sia quella digitale. Pur non avendo mai sentito nominare SPID.

In Russia l’accesso ai servizi PA online e’ per login e password. Semplicissimo. Niente doppio fattore di autenticazione. Funziona sia da desktop sia da smartphone con app. Secondo Lei i russi non hanno capito nulla di informatica mentre le autorita’ nazionali ed europee sono all’avanguardia?

Per quanto riguarda le tempistiche per l’ottenimento della CIE ci sarebbe una soluzione. Aumentare il numero degli sportelli e tenerli aperti piu’ a lungo.

1 Mi Piace

@ettoremazza
ho appena visto il post cui Lei fa riferimento, per cui il senso e’ ora piu’ chiaro

Se si mantenesse PagoPA piu’ flessibile e se il riferimento principale per documenti, pagamenti ecc. fosse il codice fiscale e non SPID o PagoPA non ci creeremmo artificialmente tutti questi problemi. A chi ha inventato SPID e PagoPA con tutte le loro restrizioni posso solo augurare di finire in uno di quei loop dove “A” e’ necessario per ottenere “B”, e “B” per ottenere “A”. E che gli si rompa lo smartphone. A quel punto apriremo un nuovo topic, diciamo, molto “vivace”.

Giusto ieri, per la parte online visto che è poco pratico, ho aiutato un mio amico a rifare la patente perché la sua per sbaglio era finita in parte nel trincia documenti, ed è stato possibile pagare senza bisogno di autenticarsi con SPID.
In pratica dal portale dell’automobilista seguendo i link abbiamo potuto stampare il modulo PagoPA con il QRCode e poi lui l’ha pagato tramite l’app della banca.
La cosa viene detto anche qui:
Il portale dell’automobilista Pagamenti senza SPID
In alternativa c’è sempre l’ACI che ti può aiutare con il pagamento e tutta la trafila, lo fanno anche se non sei socio.

c’è un fraintendimento di fondo
Nei servizi dove si accede con spid c’è (credo sempre) la possibilità di identificarsi con la CIE se si ha un lettore nfc
Quindi non servirebbe più lo spid, basta proprio al CIE