TOTP e SPID

L’algoritmo TOTP che può essere usato per abilitare l’autenticazione a due fattori (2FA) senza che sia necessaria una connessione (es. SMS), funziona su smartphone (Google Authenticator o meglio ancora FreeOTP) ma anche a linea di comando per gli smanettoni.

Sarebbe interessante se i providers SPID lo supportassero, evitando sia gli SMS che le app brandizzate.

Anche perchè SPID è stato criticato da subito per la sua dipendenza dagli SMS e ci sono dei recentissimi esempi illustri di hack basati su SMS

1 Mi Piace

Ciao @simevo,

non è corretto equiparare “connessione” e “SMS”, perché esistono tipologie di autenticazione a due fattori che richiedono sì una connessione dati, ma non prevedono l’invio di SMS.

In ogni caso se dai un’occhiata alle soluzioni proposte dagli identity provider SPID noterai che la maggior parte prevedono l’utilizzo di un app per generare l’OTP e non l’invio di un SMS.

Saluti.

@Angelo_Rossini, tutti i principali servizi (google, github, gitlab, linkedin …) supportano lo standard TOTP per la 2FA in modo che si può gestire installando una sola app, o anche nessuna app (per chi non ha uno smartphone si possono usare delle utility a linea di comando).

Gli SMS non sono sicuri, non bisogna assumere che tutti abbiano uno smartphone e se anche l’avessero non è pensabile installare un app per ogni servizio che si usa.

Quindi i providers SPID dovrebbero supportare lo standard TOTP, evitando sia gli SMS sia le app brandizzate come ArubaOTP o PosteID.

1 Mi Piace

Ciao @simevo,

mi trovi assolutamente d’accordo sull’utilizzo degli standard, ma nel caso specifico del secondo fattore per SPID non credo abbia senso obbligare gli identity provider all’utilizzo di TOTP, considerato che la maggior parte degli utenti SPID immagino abbia richiesto l’identità digitale a un solo identity provider e che quindi il problema di avere più app installate non se lo sia posto praticamente nessuno.

Sinceramente ho anche dei seri dubbi che ci siano utenti di SPID privi di smartphone che si metterebbero a generare le OTP con utility da riga di comando…

La scelta dell’app dedicata è tra l’altro in linea con quella fatta dai principali istituti di credito che con l’occasione dell’entrata in vigore del Regolamento Eba 2018/389 hanno sostituito i token fisici con token digitali, cioè con app specifiche per l’accesso ai servizi di home banking.

Saluti.