Ciao, vi scrivo per risolvere una domanda molto semplice. Sto lavorando ad un nuovo servizio che sarà accessibile solo tramite SPID. Vorrei sapere se SPID potesse essere integrato con un riconoscimento biometrico (Face ID, Touch ID…) ed in tal caso quanto fosse il tempo di valenza della login (la mia banca mi chiede di riattivare Face ID ogni 30 giorni per esempio).
Scusate la domanda banale ma non sono riuscito a trovare nulla di chiaro sul tema.
Grazie mille
Ciao @aandretto,
alcune app rilasciate dagli IdP SPID (es. PosteID) supportano il riconoscimento biometrico se il servizio richiede l’autenticazione di livello 2.
Si tratta però di una scelta che deve fare l’utente come alternativa all’inserimento del PIN, non di un obbligo.
ciao @Angelo_Rossini, si certo, la scelta di abilitare il riconoscimento biometrico spetta all’utente. Volevo solo verificare che fosse una strada percorribile.
Grazie mille
Ciao, tre considerazioni. Parto dall’assunto che tu stia lavorando su un servizio consumer.
La prima è che il riconoscimento biometrico è “appannaggio” solo di telefoni relativamente moderni, e anzi, è appannaggio proprio di smart device portatili. Il tuo servizio non sarà quindi accessibile via web, è corretto?
La seconda va valutata in base al pubblico. Non perchè il tuo telefono abbia il lettore impronte tu debba per forza attivarlo. Ok, io lo uso, ma c’è chi ha riserve di privacy. Le API di autenticazione dei dispositivi mobili sono già abbastanza robuste senza biometria. La login a SPID si fa senza biometria, non vedo perchè questo servizio innovativo debba aggiungere un’autenticazione aggiuntiva superiore rispetto allo standard de jure dei servizi pubblici.
La terza è che la mia banca non mi chiede di riattivare mai le impronte digitali. Utilizza quelle nel secure store del mio dispositivo Android che non vengono mai cambiate o ri-verificate. Durano da quando ho configurato la prima volta il cellulare.
La app di Io, per fare un esempio, funziona così. Dopo la prima login richiede la creazione di un PIN riservato a Io (e nessuno ti vieta di usare lo stesso PIN di sblocco del cellulare, shhhhhh). Questo PIN può essere sostituito da autenticazione biometrica touch o face ad ogni avvio, sfruttando le API del sistema operativo. Ad ogni aggiornamento o dopo un lungo periodo di inattività, non so quanto di preciso, viene richiesto di fare di nuovo il giro della login SPID2. Username, password, e OTP token e basta così.
Questo voleva essere un commento ovviamente. A mio avviso l’importante è bilanciare la user experience (non doversi riautenticare ogni volta) alla sicurezza (prevenire che il device venga rubato/sbloccato/usato)