I vari erogatori dello Spid hanno drasticamente ridotto il numero degli sms disponibili per autenticarsi con lo Spid, L’unico sistema fruibile sono le app.
Ma non è possibile prevedere l’invio una Email o una Pec per autenticarsi?
E’ inutile, finché i provider spid sono in mano a privati, ragioneranno con una logica diversa.
Consiglio l’uso della CIE (esiste sia il lettore per PC che l’app per gli smartphone con NFC)
1 Mi Piace
Qui c’è un elenco abbastanza preciso, spero le sia utile:
Ciao, puoi condividere il perché del disaggio nell’utilizzo delle app?
Molte persone che conosco, in genere persone anziane, non hanno lo smartphone e quindi non riescono a fare da soli e chiedono aiuto ad altre persone. Lo SPID deve essere fruibile da tutti in modo semplice.
1 Mi Piace
Concordo,
purtroppo, per certi versi, adesso sta diventando tutto digitale e per usufruire dei servizi digitali in sicurezza strumenti come lo spid sono necessari. Per chi non ha parenti che lo possano aiutare a giostrarsi nel mondo digitale le uniche soluzioni sono quelle di appogiarsi ai vari uffici CAF per gestire i servizi delle PA.
L’utilizzo di email e PEC richiederebbe, a chi non può permettersi uno smatphone, l’acquisto di un PC o tablet che risulterebbe ancora più oneroso e più complicato dell’utilizzo di una app su smartphone.
Diversi altri thread sono dedicati all’obbligatorieta’ dello smartphone per SPID. Trovo una follia il basare una verifica di identita’ sullo smartphone, non ripeto qui i motivi che ho indicato in altri thread. Riguardo gli anziani: se la persona e’ in grado di gestire un dispositivo IT e’ piu’ plausibile che preferisca un PC o laptop con grande schermo e tastiera a dimensioni standard piuttosto che uno smartphone con piccolo schermo e microtastiera. Se l’utente quindi ha gia’ PC/ laptop, perche’ spingere anche per lo smartphone solo per l’identificazione? Si potrebbe inviare un codice OTP per email. Ma gli operatori SPID non vogliono, troppo semplice e senza ritorni commerciali. Nei paesi con maggiore penetrazione dei servizi pubblici digitali, quandi usati anche da anziani, lo smartphone non si usa proprio. Le procedure di identificazione hanno luogo nella maggior parte dei casi con la Carta d’Identita’ Elettronica.
2 Mi Piace
Non so se a 67 anni devo considerarmi anziano. Uso e ho amministrato computer per lavoro (ricerca scientifica) da oltre 40 anni, e certamente preferisco usare un PC desktop e non ho alcun interesse a possedere uno smarpione (per telefonare mi basta e avanza un cellulare stupido). Per l’accesso alla PA ho deciso di usare la CNS con lettore.
1 Mi Piace
Faccio notare che esiste una discussione già aperta su questo tema, sulla dipendenza di spid allo smartphone
Buona serata a tutti,
Un tempo esisteva il treno a vapore , poi con gli anni i treni vanno ancora qualcuno con motore endotermico, ma ad oggi molti sono elettrici, la tecnologia va in avanti e si spera per migliorare i servizi!!!
A tal proposito vi è una valanga di polemiche sui provider che non vogliono restare con il motore endotermico “SMS” ma a questo punto che cosa proponete per aiutare coloro che non possono , e permettetemi di dire , che non vogliono usare le APP? Ricordo a qualcuno che l’INPS per ovviare al problema per gli anziani ha inviato delle lettere indicando un codice telefonico da comunicare quando si vuole autenticarsi per accedere ai servizi, sperando che anche questa soluzione non scateni ulteriori polemiche, per ovviare alla APP cosa proporreste ?
1 Mi Piace
Un ottimo esempio di attenzione ai clienti e’ dato da societa’ che veramente conoscono l’informatica, quelle che la fanno. Google, ad esempio. Fino a prova contraria Google controlla un’enorme fetta di IT in Europa, le societa’ SPID controllano un bel niente negli USA. Chi ha capito meglio come funziona il settore e soprattutto quali sono i veri bisogni degli utenti?
Anche Google ha introdotto 2FA che puo’ basarsi su una app, ma non e’ strettamente necessario. Come prova d’identita’ 2FA si puo’ utilizzare un token programmabile. Un’altra possibilita’ e’ ricevere un PIN a voce su telefono
Se fossi cliente di Google segnalerei loro il mio numero fisso. Un hacker che riuscisse in contemporanea a entrare sulla mia comunicazione SSL con il fornitore di servizi e a intercettare una telefonata su fisso dovrebbe essere VERAMENTE bravo. Resta poi aperta la questione del cosa se ne farebbe della comunicazione tra me e l’INPS, ma i gusti non sono opinabili, neanche quelli degli hacker.
In alternativa potrei segnalare a Google che il computer fisso dal quale accedo a servizi digitali e’ “trusted” cosi’ che Google ne registra il MAC. L’hacker in questo caso dovrebbe entrarmi in casa e rubare l’hardware. Per ovvi motivi la password di accesso non e’ scritta su un bigliettino attaccatoci sopra.
Basterebbe cosi’ poco a essere flessibili. C’e’ chi lo sa fare, e chi no. Come ben rispecchiato dai fatturati.
Google stessa sconsiglia la verifica via sms/telefonata se non si è loro clienti (Google FI) in quanto in America la procedura di sim swap è molto più facile che da noi(e quindi possono clonarti il numero di cellulare con la stessa facilità con la quale puoi andare a far la spesa). La nostra burocrazia in questo caso ci aiuta(visto che devi fornire una serie di documenti di identità per fare un cambio scheda) ma comunque non è impossibile.
Sarei l’uomo più felice del mondo se potessi registrare la mia yubikey con spid ma a conti fatti, la logica della cie è la stessa(oggetto con credenziali + attestazione via pin). Basterebbe che per una volta i vari ministeri si allineassero tutti su un singolo IdP(CIE) e non lasciare la gestione in balia dei loro informatici(che giustamente non cercano disgrazie a cambiare la sorgente credenziali se non con una pistola alla tempia)
Fare MAC spoofing è semplicissimo, un sistema di autenticazione basato anche solo parzialmente su MAC sarebbe irrimediabilmente troppo debole ai fini SPID.
@Agos1969 nessuno pretende gli sms ma siccome per richiedere lo Spid bisogna avere un indirizzo Email ed un numero di cellulare la cosa più ovvia ed economica è l’invio del codice a 5 cifre per accedere al 2 livello di autenticazione con una semplice Email. Altri modi sono stati elencati sopra al tuo post, ed io aggiungo visto che ai gestori del servizio piacciono le App potrebbero creare delle estensioni ai vari browser per recuperare il codice di autenticazione. Ma un app per lo smarttphone consente loro di succhiare molti dati personali dai cellulari per rivendere le informazioni catturate su mercato dei metadati. Non dimentichiamoci che lo Spid è un servizio pubblico e dovrebbe osservare la neutralità tecnologica.
Fare MAC spoofing e’ semplicissimo - conoscendo il MAC. Certamente non andrei io a dirlo agli hacker e la comunicazione con i service provider e’ criptata in ogni caso. Tutti i sistemi di sicurezza sono in qualche modo attaccabili, ma quasi sempre con una potenza di calcolo e un dispendio di risorse del tutto sproporzionati ai risultati. La mia avversione a SPID deriva dal fatto che uno smartphone e’ di fatto obbligatorio per il suo utilizzo, ma anche che non si siano tenuti in considerazione la preparazione degli utenti, la facilita’ d’uso, e l’adeguatezza allo scopo, bilanciando questi aspetti. Per l’iscrizione dei figli alla mensa scolastica l’impiego di procedure SPID / 2FA e’ ridicolo, in passato funzionava benissimo per telefono o riempiendo un modulo. Cosa ci sia da proteggere, poi.
2FA su un metodo di autenticazione a scelta, o su un algoritmo TOTP (di cui il provider genera il segreto e l’utente se lo gestisce a modo suo), o invio OTP tramite SMS, o invio OTP tramite EMAIL.
Credo che in questo modo tutti sono contenti
1 Mi Piace
con queste opzioni io lo sarei 
E’ sufficiente essere sulla stessa rete locale, per esempio in ufficio, per riuscire a risalire agevolmente al MAC del PC di qualcuno. Aggiungendo a questo il fatto che alcuni necessitano di collegarsi via SPID per esigenze lavorative, è bene non incentivare in questa direzione. Inoltre ogni genere di software installato può risalire e comunicare fuori il MAC. Quindi resto convinto che il MAC non sia sufficientemente sicuro.
Osservazione sacrosanta. Il punto è però che lo SPID, anche solo di livello 2, è già autorizzativo e permette di compiere a nostro nome tutta una serie di operazioni per le quali si rischiano illeciti amministrativi o penali. Per questo motivo il trade off fra praticità d’uso e sicurezza non può che essere sbilanciato verso quest’ultima. In questo senso la tricotomia SPID/CIE/CNS, pur complicando il lavoro di chi fornisce servizi, può essere vista come una risposta alla lecita problematica sollevata in questo e altri thread, così come lo può essere l’uso di protocolli TOTP standard o altre proposte.