Marco Calamari

Lampi di Cassandra/ SPID2, l'opinione del NIST

di M. Calamari - Negli USA l'autenticazione a due fattori a mezzo SMS viene bocciata e sparirà presto dalla circolazione. E non è solo questione di malware

Roma - SPID2 è già stato oggetto di esternazioni di Cassandra: la nostra amica sosteneva che l'attuale offerta di SPID, limitata alla SPID2 con SMS, era insicura e controproducente ai fini della sicurezza, particolarmente per la possibilità di infezioni dello smartphone da parte di malware avanzati.

Agenda Digitale, quotidiano telematico di informazione, pubblicava un articolo nel quale, in buona sostanza, si sosteneva che se un device è infetto, e un attacco Man-in-the-browser o Man-in-the-middle è in corso, non c'è doppio fattore che tenga.

Anche se è senz'altro vero che non avere malware sul proprio smartphone sia cosa buona e giusta, nel contesto SPID si tratta di un'affermazione semplicistica, fuorviante e tecnicamente sbagliata, perché non tratta il nocciolo del problema.
In queste ore, il NIST (National Institute of Standards and Technology), ente statunitense che cura le standardizzazioni tecnologiche e che non è proprio l'ultimo arrivato nel settore, ha pubblicato il final draft del documento "Digital Authentication Guideline - Authentication and Lifecycle Management". La parte B del documento (Cassandra si scusa della pedanteria) pianta gli ultimi chiodi sulla bara della autenticazione a due fattori con SMS (2FA-SMS). Un sintetico riassunto della questione si trova su Slashdot.

Ma citiamo direttamente la raccomandazione contenuta in questa imminente normativa. Il NIST raccomanda che le applicazioni utilizzino token fisici e crittografici. Il documento prevede, quasi a "malincuore", che essi possano attualmente assumere anche la forma di app per cellulari, quindi di dispositivi che possono essere rubati o "temporaneamente presi in prestito".

NIST sottolinea poi il fatto che la 2FA-SMS ha un altro punto debole che ha eroso la sua affidabilità, quello dei servizi VoIP: "Se la verifica fuori banda deve essere effettuata tramite un messaggio SMS su una rete pubblica di telefonia mobile, il gestore del processo deve assolutamente controllare che il numero di telefono pre-registrato in uso sia veramente associato con una rete mobile e non con un VoIP (o altro sistema telefonico basato su software)". Aggiunge inoltre che "la modifica del numero di telefono pre-registrato non deve essere possibile senza una vera autenticazione a due fattori, da utilizzare al momento del cambio numero. Il cambio del numero tramite SMS è deprecato, e non sarà più consentito nelle versioni future di questa guida."

In buona sostanza, oltre ai problemi legati ai malware avanzati che possono infettare uno smartphone (e certamente lo faranno) rendendo l'autenticazione a due fattori via SMS insicura, NIST individua altri due vettori di attacco: le reti VoIP e le problematiche legate al cambio del numero telefonico su cui ricevere l'SMS, che impediscono di usare la 2FA-SMS come metodo di autenticazione sicuro.

Ricordiamo la definizione di base della 2FA: "Qualcosa che sai, più qualcosa che hai".
Gli smartphone e le reti GSM non sono sotto il controllo dell'utente ma di terzi, legittimamente o illegittimamente, quindi non rappresentano un "qualcosa che hai". E questa è un'ulteriore conferma che la SPID2, realizzata con SMS e non con token hardware, non dovrebbe proprio esistere.

Ma in Italia ci vorrebbe una catastrofe affinché la convenienza della 2FA-SMS, scelta per facilitare il "decollo" del PIN di Renzi della SPID, venisse messa in discussione.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
Notizie collegate
55 Commenti alla Notizia Lampi di Cassandra/ SPID2, l'opinione del NIST
Ordina
  • L'autenticazione a due fattori è una vera pizza per paranoici incalliti (e illusi).
    Ancora nessuno è riuscito a trovare un sistema che funzioni e che non sia abbinato all'identità dell'utilizzatore.
    Al contrario: per mero calcolo economico (profilazione) si va proprio nella direzione dell'abbinamento con la persona.
    Manica di incapaci venduti.
    non+autenticato
  • - Scritto da: paxa
    > L'autenticazione a due fattori è una vera pizza
    > per paranoici incalliti (e
    > illusi).
    > Ancora nessuno è riuscito a trovare un sistema
    > che funzioni e che non sia abbinato all'identità
    > dell'utilizzatore.
    > Al contrario: per mero calcolo economico
    > (profilazione) si va proprio nella direzione
    > dell'abbinamento con la
    > persona.
    > Manica di incapaci venduti.

    ma che stai a dire? Al momento nelle autenticazioni a 2 fattori più diffuse (le altre in pratica non esistono), l'identità non è usata. E' usato il fattore "una cosa che sai" (password) e il fattore "una cosa che hai" (cellulare). Il fattore "una cosa che sei" inizia ad esserci ora sui cellulari (impronta, retina), ma è una coodità, non una sicurezza.
    non+autenticato
  • cellulare = sms = numero di telefono = identificatore "univoco" .

    Ricordiamoci che quando visitiamo da cellulare un sito per qualche strano motivo e' possibile per questo conoscere il nostro numero di telefono ( vedi i casi di abbonamenti a servizi premium attivati con un click )
    non+autenticato
  • - Scritto da: lorenzo
    > cellulare = sms = numero di telefono =
    > identificatore "univoco"
    > .
    >

    al massimo è un identificatore univoco del dispositivo, non di chi lo tiene in mano. Non mi pare una differenza da poco.

    > Ricordiamoci che quando visitiamo da cellulare un
    > sito per qualche strano motivo e' possibile per
    > questo conoscere il nostro numero di telefono (
    > vedi i casi di abbonamenti a servizi premium
    > attivati con un click
    > )

    colpa degli operatori telefonici e ancor più dei politicanti che non regolamentano a dovere.
    non+autenticato
  • considerando che i possessori di numero telefonico in italia sono "schedati" e che da un identificatore univoco non e' troppo difficile risalire con buona approssimazione al proprietario ( e ancora piu' facile al suo profilo ) direi che non e' una cosa da trascurare ed e' prudenzialmente da considerare numero di telefono = identita' e come tale sarebbe da considerare e proteggere .
    non+autenticato
  • - Scritto da: lorenzo
    > considerando che i possessori di numero
    > telefonico in italia sono "schedati" e che da un
    > identificatore univoco non e' troppo difficile
    > risalire con buona approssimazione al
    > proprietario ( e ancora piu' facile al suo
    > profilo ) direi che non e' una cosa da trascurare
    > ed e' prudenzialmente da considerare numero di
    > telefono = identita' e come tale sarebbe da
    > considerare e proteggere
    > .

    risalire con approssimazione non serve a nulla. La sim può anche essere intestata a me, ma ciò non vuol dire che sia io ad utilizzarla.

    Non riesco a capire quale sia il tuo timore. Quale è?
    non+autenticato
  • Comprati una casa di vetroSorride in un posto ben visibileSorride

    come non ti va ? Qual'e' il tuo timore ?
    non+autenticato
  • - Scritto da: lorenzo
    > Comprati una casa di vetroSorride in un posto ben
    > visibileSorride
    >
    >
    > come non ti va ? Qual'e' il tuo timore ?

    rispondi seriamente. Quale è il problema di dare un cellulare per l'autenticazione a 2 fattori? Perchè un'idea del tuo problema me al sono fatta, e non sarebbe nemmeno tanto campata in aria.
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: lorenzo
    > > Comprati una casa di vetroSorride in un posto ben
    > > visibileSorride
    > >
    > >
    > > come non ti va ? Qual'e' il tuo timore ?
    >
    > rispondi seriamente. Quale è il problema di dare
    > un cellulare per l'autenticazione a 2 fattori?
    > Perchè un'idea del tuo problema me al sono fatta,
    > e non sarebbe nemmeno tanto campata in
    > aria.

    non campata in aria, ma non legata all'autenticazione in 2 fattori.
    non+autenticato
  • Ti ho risposto seriamente , e aggiungo che il cellulare te lo possono rubare , hackerare o puo' avere la batteria scarica proprio quando ti serve .
    non+autenticato
  • - Scritto da: lorenzo
    > Ti ho risposto seriamente , e aggiungo che il
    > cellulare te lo possono rubare , hackerare o puo'
    > avere la batteria scarica proprio quando ti serve
    > .

    e come leghi l'autenticazione a 2 fattori con la casa di vetro?
    non+autenticato
  • Siamo tra tecnici giusto? Vi ricordate quando NTLM era il protocollo di autenticazione in ambiente Microsoft e faceva schifo? o quando le password in linux erano salvate in con debole algoritmo di hashing nel file /etc/passwd?
    Bene, vi ricordate. La domanda è: il fatto di aver avuto delle implementazioni poco sicure ha forse messo in dubbio il concetto di autenticazione?
    Bene. Adesso espandiamo il concetto: se uno dei molteplici sistemi per l'autenticazione con SPID risultasse poco affidabile, questo metterebbe forse in discussione il "pin di Renzi"?
    Allora, è inutile prenderla larga, dire fa schifo l'SMS per arrivare a dire che volete rimanere nel 19° secolo, dite chiaramente che non volete un sistema nazionale e continuiamo come abbiamo fatto fino adesso, amici come prima.
    non+autenticato
  • credo che dicano che non ha senso buttare i soldi , il sistema si puo' fare ma ne serve uno non una moltitudine ( spid , carta nazionale servizi , carta identita' elettronica ) , e va fatto usando tecnologie di oggi non di 20 anni fa .
    non+autenticato
  • - Scritto da: ostinati
    > Siamo tra tecnici giusto?

    Ciao Matteo

    mah... è da vedere...
    ti facevo più un politico...

    > Vi ricordate quando
    > NTLM era il protocollo di autenticazione in
    > ambiente Microsoft e faceva schifo?

    veramente NTLM non sarebbe tanto schifoso... lo schifo deriva dall'implementazione proprietaria di M. e dall'assenza di documentazione valida (ovviamente il tutto causato a bella posta da M.: non sia mai che poi si potessero integrare facilmente i sistemi M. con altri sistemi...)

    > o quando le
    > password in linux erano salvate in con debole
    > algoritmo di hashing nel file
    > /etc/passwd?

    più o meno come è ancora sam di M. ...
    cmq il discorso sarebbe lungo... passo

    > Bene, vi ricordate. La domanda è: il fatto di
    > aver avuto delle implementazioni poco sicure ha
    > forse messo in dubbio il concetto di
    > autenticazione?

    no, ma non mette in dubbio il fatto che le si debba criticare, come per lo SPID... soprattutto se ci si stanno spendendo taaaanti soldini pubblici (cosa che non succedeva con NTLM o con le password Linux)...

    > Bene. Adesso espandiamo il concetto: se uno dei
    > molteplici sistemi per l'autenticazione con SPID

    molteplici? sbaglio o sono 3? e chiamarli con "autenticazione" è un discreto azzardo...

    comunque, Matteo, come riesci tu ad alterare la realtà non ci riesce nessun'alttro eh...

    > risultasse poco affidabile,

    poco affidabile? direi piuttosto MOLTO INAFFIDABILE...
    il bicchiere è mezzo vuoto (anzi 4/5 vuoto) e non mezzo pieno...
    complimenti però per quest'altra magia dialettica...

    > questo metterebbe
    > forse in discussione il "pin di Renzi"?

    e certo Matteo! hai voglia!
    oopppsssss... scusa Matteo... non dovevo dirlo vero?

    > Allora, è inutile prenderla larga, dire fa schifo
    > l'SMS per arrivare a dire che volete rimanere nel
    > 19° secolo,

    giravolta coleta a 360°!!!
    si Matteo ti riconosco! sei proprio tu!

    > dite chiaramente che non volete
    > un sistema nazionale

    e se diciamo che lo vogliamo, ma che sia "neutrale" (senza che favorisca alcuni "fornitori" di "servizi" collaterali inutili appositamente inventati), aperto, sicuro e a basso costo?

    > e continuiamo come abbiamo
    > fatto fino adesso, amici come prima.

    e certo! siamo tutti liberi e sinceramente democratici e taaaanto amici
    Matteo ma ci hai pensato che ci si potrebbe fare su un bel referendum???
    non+autenticato
  • >
    > no, ma non mette in dubbio il fatto che le si
    > debba criticare, come per lo SPID... soprattutto
    > se ci si stanno spendendo taaaanti soldini
    > pubblici (cosa che non succedeva con NTLM o con
    > le password
    > Linux)...
    >

    Certo, ma allora critica quel processo, non tutto lo SPID, non so se mi spiego.

    >
    > molteplici? sbaglio o sono 3? e chiamarli con
    > "autenticazione" è un discreto
    > azzardo...

    No, vedi che non qua non si hanno le idee molto chiare? 3 sono i livelli di affidabilità, il metodo lo decide il gestore dell'identità. Potrebbe essere una banale password (e non andresti oltre uno SPID di livello 1), oppure sistemi più complessi. Viene "semplicemente" richiesto di non dover avere lettori di carte per accedere, per questo si cerca di convergere su un dispositivo che più o meno tutti ormai hanno sempre con se che è il telefono cellulare/smartphone. Se vogliamo, lo SPID è solo un concetto astratto nel quale sono state inserite delle norme tecniche per il passaggio di dati di gestore delle identità e pubblica amministrazione.
    Altre info, molto semplice, le trovi qua: http://www.spid.gov.it/faq

    > e se diciamo che lo vogliamo, ma che sia
    > "neutrale" (senza che favorisca alcuni
    > "fornitori" di "servizi" collaterali inutili
    > appositamente inventati), aperto, sicuro e a
    > basso
    > costo?

    Va be', sorvolo sulle provocazione da 4 soldi, ma qua si capisce da dove arrivano le tue informazioni. Lo Stato italiano non ha dato soldi ai candidati per fare gli identy management (o gestori delle identità digitali), ci si deve accreditare soddisfando alcuni requisiti. il gestore delle identità lo fa per avere vantaggio competitivo su altri, ad esempio perché ti vuole come suo cliente e ti offre un servizio aggiuntivo. Faccio presente (ma ho paura di avere un analfabeta funzionale davanti a dire il vero), che ad oggi tutti i sistemi di autenticazione si pagano, ad esempio se vuoi un firma elettronica o una CNS la paghi, quindi non è che prima qualcosa che era gratutita adesso diventa gratis (a meno che il gestoe non te la offra gratuitamente), ma si unifica il processo di autenticazione a livello nazionale. In altre parole, tu non avrai delle credenziali diverse se entri nel sito dell'inps, del ministero, del 730, del tuo comune o di quello dove hai preso la multa ecc ecc.


    > e certo! siamo tutti liberi e sinceramente
    > democratici e taaaanto
    > amici

    In effetti si. Nessuno ti obbliga ad avere o SPID. Puoi sempre prendere la macchina ed andare a fare le tue pratiche nei vari uffici.
    non+autenticato
  • a prescindere da quello che dici, se offendi il tuo interlocutore sarà difficile che ti dia retta.
    non+autenticato
  • - Scritto da: sempre lui
    > a prescindere da quello che dici, se offendi il
    > tuo interlocutore sarà difficile che ti dia
    > retta.

    A parte il fatto che non ho offeso nessuno ma ho avuto una impressione (potrei sbagliarmi), vedo che Matteo non ha più argomenti.
    Buona serata.
    non+autenticato
  • Tra poco avremo tutti una carta di identita' eletronica ( a costi esorbitanti una per una tessera da 50 centesimi per pezzo al dettaglio ),
    che conterra' il nostro codice fiscale ed altre informazioni ( purtroppo anche biometriche ),
    metterci dentro una chiave privata per l'utenticazione e la firma non e' solo utile ma e' semplicemente banale , meno banale gestirla ma in ogni caso non troppo difficile ( con lo spid si deve gestire comunque l'interconnessione con chi autentica e spero , ma temo la mia speranza sia vana , che non si interroghi direttamente il certificatore , ma ci sia un sistema "centrale" che interroghi i certificatori cosi' che basti aggiornare solo quello quando cambiano i certificatori o si devono correggere bug ) , quindi a che serve lo spid ? A buttare soldi dei contribuenti ?
    non+autenticato
  • bhe. in realtà la tessera sanitaria dovrebbe avere già tutto l'hardware che serve.

    http://www.progettocns.it/
    non+autenticato
  • Ce l'ha e funziona anche. Per esempio si puo' usare per accedere al sito dell'INPS.

    Peccato che in Italia non esista nessuna sorta di armonizzazione e ogni volta ci si deve inventare qualcosa di nuovo
    non+autenticato
  • - Scritto da: Scumm78
    > Ce l'ha e funziona anche. Per esempio si puo'
    > usare per accedere al sito
    > dell'INPS.
    >
    > Peccato che in Italia non esista nessuna sorta di
    > armonizzazione e ogni volta ci si deve inventare
    > qualcosa di
    > nuovo

    qui da me purtroppo non è attivabile in quanto "non abbiamo le attrezzature preposte"
    non+autenticato
  • - Scritto da: Scumm78
    > Ce l'ha e funziona anche. Per esempio si puo'
    > usare per accedere al sito
    > dell'INPS.
    >
    > Peccato che in Italia non esista nessuna sorta di
    > armonizzazione e ogni volta ci si deve inventare
    > qualcosa di nuovo

    l'armonizzazione ci sarebbe: la normativa italiana recepisce quella europea, solo che... anziché limitarsi a recepirla così come è i nostri governanti hanno pensato bene di aggiungere qualcosina... giusto quello che serviva per far mangiare i soliti "privati"...
    non+autenticato
  • - Scritto da: lorenzo
    > Tra poco avremo tutti una carta di identita'
    > eletronica ( a costi esorbitanti una per una
    > tessera da 50 centesimi per pezzo al dettaglio ),
    > che conterra' il nostro codice fiscale ed altre
    > informazioni ( purtroppo anche biometriche ),

    a propostito, sai dove trovare portafogli seriamente schermati?
    qualcuno ha qualche link?

    > metterci dentro una chiave privata per
    > l'utenticazione e la firma non e' solo utile ma
    > e' semplicemente banale ,

    la fai facile... c'è la questione di chi effettua il riconoscimento fisico delle persone confermandone l'identità...
    dovrebbe rigorosamente ed esclusivamente essere un pubblico ufficiale della PA (e già questo non è facilissimo) che identifica la persona e carica la chiave...
    ma finirà ai privati, con tutto quello che ne consegue in termini di insicurezza e inattendibilità...

    > meno banale gestirla ma
    > in ogni caso non troppo difficile ( con lo spid
    > si deve gestire comunque l'interconnessione con
    > chi autentica e spero , ma temo la mia speranza
    > sia vana , che non si interroghi direttamente il
    > certificatore , ma ci sia un sistema "centrale"
    > che interroghi i certificatori cosi' che basti
    > aggiornare solo quello quando cambiano i
    > certificatori o si devono correggere bug ) ,

    beh... anche gestirla non è poi così facile...

    riguardo il sistema centrale e i certificatori, stai pur certo che non sarà come auspichi: già ora con la firma elettronica è un totale casino... basta pensare solo alle decine di driver diversi (per far mangiare più soggetti)...

    > quindi a che serve lo spid ? A buttare soldi dei
    > contribuenti ?

    beh no... non a buttarli, ma a trasferirli nelle tasche di alcuni "privati"... conta solo questo per chi comanda, e se poi è una merda chissenefrega...
    non+autenticato
  • >
    > la fai facile... c'è la questione di chi effettua
    > il riconoscimento fisico delle persone
    > confermandone
    > l'identità...
    > dovrebbe rigorosamente ed esclusivamente essere
    > un pubblico ufficiale della PA (e già questo non
    > è facilissimo) che identifica la persona e carica
    > la chiave...
    >

    Beata ignoranza. Stai in pratica sostenendo, tanto per fare un esempio, che fino ad oggi nessun privato ha venduto firme digitali?

    > ma finirà ai privati, con tutto quello che ne
    > consegue in termini di insicurezza e
    > inattendibilità...

    No, non è che finirà hai privati, è già ai privati: i gestori delle identità digitali si devono accreditare avendo i requisiti, punto. C'era un'altra possibilità e cioè fare un datacenter nazionale con accreditamento nazionale ecc ecc, e tu qua ora staresti a scrivere che è una scemenza per dare da mangiare agli amici, non sarebbe cambiato nulla, l'importante è dire che è scemenza, qualcuno ci crederà a forza di ripeterlo.

    > riguardo il sistema centrale e i certificatori,
    > stai pur certo che non sarà come auspichi: già
    > ora con la firma elettronica è un totale
    > casino... basta pensare solo alle decine di
    > driver diversi (per far mangiare più
    > soggetti)...

    Bene, vedo che inizi a capire qual'è il limite dei "vecchi" sistemi, piano piano ci stai arrivando.


    > beh no... non a buttarli, ma a trasferirli nelle
    > tasche di alcuni "privati"... conta solo questo
    > per chi comanda, e se poi è una merda
    > chissenefrega...

    Si, poi dove i soldi dei contribuenti vengano spesi con lo SPID me lo fai sapere magari. L'identità digitale la gestisce una azienda, il sito/servizio in cui entri un ente. L'ente spende comunque dei soldi per darti quel servizio, deve solo adeguarsi al sistema SPID, e tu privato decidi se ti conviene averlo o meno, i primi due anni è gratuito.
    Mi sembra molto semplice. Per la cronaca, giusto per fare un parallelo con la PEC e la CEC/PAC: quest'ultima era gratis, ci costava un botto ed era limitata, adesso che puoi avere una PEC con un provider la paghi 6 euro o poco più (o poco meno) all'anno ed è una PEC a tutti gli effetti.
    non+autenticato
  • in teoria la carta di identita' elettronica non contiene chip a radiofrequenza ma un chip con i contatti , in ogni caso uno di questi potrebbe gia' andare : http://www.ebay.it/itm/like/331210023854?lpid=96&c...

    La carta di identita' rilasciata dal comune ( con chiave inserita sempre dal comune ) dovrebbe risolvere il problema dell'identificazione della persona da parte della PA .

    Certo gestire un sistema di identificazione online non e' banale ma nemmeno fantascientifico ( dopotutto chi eroga il servizio dello spid lo fa praticamente il sistema viene duplicato triplicato ecc in base a quanti provider ci sono ) , basterebbe volerlo fare ( e non far mettere su il sistema con asta al ribasso e subappalto al ribasso infinito come purtroppo succede ogni volta )
    non+autenticato
  • > La carta di identita' rilasciata dal comune ( con
    > chiave inserita sempre dal comune ) dovrebbe
    > risolvere il problema dell'identificazione della
    > persona da parte della PA
    > .
    >
    > Certo gestire un sistema di identificazione
    > online non e' banale ma nemmeno fantascientifico
    > ( dopotutto chi eroga il servizio dello spid lo
    > fa praticamente il sistema viene duplicato
    > triplicato ecc in base a quanti provider ci sono
    > ) , basterebbe volerlo fare ( e non far mettere
    > su il sistema con asta al ribasso e subappalto al
    > ribasso infinito come purtroppo succede ogni
    > volta
    > )

    Il senso dello SPID è fornire ai cittadini un sistema il più semplice possibile per entrare nei site della pubblica amministrazione. Tu lo devi poter fare anche sei in giro, per questo si preferiscono sistemi senza l'utilizzo di lettori di smartcard, al massimo di un token tipo i generatori OTP che ti fornisce la banca, ma devi ricordarti di portartelo dietro però!
    Come sappiamo noi tecnici, semplicità non va proprio a braccetto con sicurezza, si sta cercando di mediare tra le due esigenze.
    Non ci saranno aste a ribasso di nulla perché chi fa la parte "principale" è l'identity manager che è una ditta più o meno privata che rivende il servizio (gratuito per i primi due anni), quindi lo Stato non deve appaltare nulla, deve solo adeguare un poco alla volta i suoi siti.
    Se ci sono altri dubbi chiedi.
    non+autenticato
  • Ovvio che non ci saranno aste al ribasso , non e' previsto quello che auspicavo io ovvero un sistema unico gestito dalla PA .

    Be' se sei in giro le cose sono due o stai usando un telefono / tablet che non sono il massimo per lo scopo , o stai usando un pc di un altro ( si spera non condiviso ) , se sei presso il commercialista caf et similia la carta d'indentita' basta ( e non gliela puoi lasciare come si fa con carta e token delle firme digitali ).

    Semplicita' qualche volta va a braccetto con la sicurezza per esempio quasi tutti i "tecnici" tendono a farti usare password astruse ( e di massimo 10 caratteri ) che un umano non ricorda ma possono essere ricavate "facilmente" da un calcolatore tipo che so #@[]ahjr56 , mentre una password del tipo [#qu3st4èl@m14p4ssw0rd#] che si ricorda piu' facilmente e' anche piu' difficile della prima da ricavare ma non si puo' usare quasi da nessuna parte .
    non+autenticato
  • - Scritto da: lorenzo
    > Ovvio che non ci saranno aste al ribasso , non e'
    > previsto quello che auspicavo io ovvero un
    > sistema unico gestito dalla PA .
    >

    No, c'è stata una risposta precisa a questa domanda e si è detto che era inutile mettere in piedi un sistema costoso e complesso quando ci sono già numerose aziende che gestiscono la nostra identità digitale, ad esempio banche e compagnie telefoniche.
    E' il solito discorso: se il sistema lo metteva su lo Stato avrebbero detto macchina mangiasoldi da distribuire al fratello, se lo dai all'esterno dicono solito sistema per dare soldi agli amici. Insomma, a sentire le critiche non bisognerebbe mai fare nulla.

    >
    > Semplicita' qualche volta va a braccetto con la
    > sicurezza per esempio quasi tutti i "tecnici"
    > tendono a farti usare password astruse ( e di
    > massimo 10 caratteri ) che un umano non ricorda
    > ma possono essere ricavate "facilmente" da un
    > calcolatore tipo che so #@[]ahjr56 , mentre una
    > password del tipo [#qu3st4èl@m14p4ssw0rd#] che si
    > ricorda piu' facilmente e' anche piu' difficile
    > della prima da ricavare ma non si puo' usare
    > quasi da nessuna parte
    > .

    Scusami ma è un esempio non calzante, si è già detto che con la sola password si può proteggere uno SPID di livello 1 al massimo, qua si sta discutendo di autenticazione un attimo più robusta di una semplice password.
    non+autenticato
  • Magari basterebbe che un qualche whitehat bucasse lo SPID2 di un qualche parlamentare influente usando 2FA-SMS.
    Teo_
    2640
  • Quoto la parola "influente". E sono d'accordo che è meglio farlo da white hat. Proviamo con Madia o Boldrini? Sorride
  • Ci vorrebbe proprio... pa una "catastrofe" vera
    non+autenticato