Ciao a tutti sono Matteo da Prato. Volevo sapere se qui si sta pensando o si è mai pensato a legare SPID al TouchID dei moderni smartphone ovvero ad usare le impronte digitali come autenticazione sicura per la PA. Grazie
1 Mi Piace
Ciao @iltempe. L’utilizzo della tecnologia fingerprint di cui touchid apple è parte è interessante ed è anche integrabile con saml. Allo stato attuale non è prevista l’implementazione in SPID anche perchè è una feature per lo più applicabile al mondo mobile. Attualmente la maggior parte dei servizi della PA è per sistemi desktop e non su app. Con il crescere del numero delle app, che verranno soprattutto inizialmente con l’utilizzo di spid da aziende private, sicuramente verranno prese in considerazione altre tecnologie.
Grazie per la collaborazione
1 Mi Piace
A dire la verità Piacentini instiste (e come non protrebbe) con il paradigma mobile-first: abilitare il biometrico per SPID è obbligatorio se si vuole che diventi davvero uno strumento di autentificazione ad altissima diffusione.
1 Mi Piace
Grazie @umbros e @carloreggiani Penso si potrebbe in ogni caso mantenere questo argomento come discussione presente/futura per capire come implementarlo in modo “sufficientemente” sicuro e quanto effettivamente semplificherebbe la vita. Per quanto riguarda la questione mobile-first, sono d’accordo che sia effettivamente una priorità ma ricordiamoci che Apple ha già implementato questa funzione anche per Macbook Pro https://support.apple.com/it-it/HT207054 e che in ogni caso esistono lettori di questo tipo già in commercio per leggere le impronte digitali, ad esempio questo https://www.amazon.it/intelligente-sbloccare-dispositivi-10-Funziona-Microsoft/dp/B01NBKIZ8I/ref=sr_1_2?ie=UTF8&qid=1493579506&sr=8-2&keywords=usb+lettore+impronte+digitali . Grazie!
@carloreggiani assolutamente corretto ma il paradigma mobile-first non vuol dire fare “App” ma concepire sistemi con un’esperienza utente pensata prima per sistemi mobile e poi per tutti gli altri tra cui sistemi desktop. Come in ogni progetto è necessario lavorare per priorità; attualmente la biometria per SPID non è una priorità.
@iltempe la community developers, per questo motivo da facebook ti ho chiesto di scrivere qui, è proprio il posto più adatto per discutere di tutto ciò.
Grazie a tutti, intanto, per la collaborazione
Buonasera, mi attacco alla discussione per due brevi commenti.
Per quanto ne ho potuto apprendere, la credenziale di livello biometrico, per poter essere implementata, andrebbe rivista prima sotto il profilo normativo in quanto almeno la normativa iniziale di SPID prevede esplicitamente che l’autenticazione sia basata su certificati digitali. Basterebbe verificare che il Touch ID e i dispositivi simili nell’ecosistema Android si adeguino ai requisiti normativi e il livello 3 avrebbe superato il primo scoglio. Non ho approfondito ma credo che siamo sulla strada giusta.
Il secondo aspetto, puramente tecnico/di flusso, è che l’uso dell’impronta su dispositivo mobile può essere facilmente esteso ai servizi desktop se l’IDP attua un flusso asincrono in cui alla richiesta desktop segue una notifica mobile e successivo scambio chiavi sbloccato dall’impronta. Personalmente sono un fan dei flussi asincroni innescati su mobile, in quanto estendono gli scenari applicativi. Già il fatto che con Gmail ci si può autenticare senza password ma con una notifica è un passo avanti in questo senso.