Grazie @Lost!
Oggi ho scoperto che sul lato B2B c’è un tentativo di usare standard aperti per le API (https://www.openbanking.org.uk/). Ci sono iniziative del genere per il lato B2C?
Concordo. Non ci dovrebbe essere una rilevante differenza di sicurezza tra token fisico o app. Forse i token fisici tendono a perdersi più spesso oppure perché gli smartphone hanno solitamente spesso la schermata di blocco attivata, anche se probabilmente sono più attacabili. Però allora mi pongo il dubbio. Perché non va bene TOTP (e qualunque app come freeotp+)?
Mi pare che gli SMS viaggiano in chiaro per questo non sono considerati sicuro. Un potenziale attaccante basta essere vicino alla vittima per poter intercettare i messaggi.
Questa mi pare una scusa ma ok.
Non è semplice aprire il token e sostituire semplicemente la pila?
Certo. Anche io ne ho avuto esperienza. Il concetto che volevo fare passare è che questa imposizione delle banche non sembra avere una motivazione valida se non quella di una ‘scusa’ per comodità proprie o che ignoro. Non c’è una motivazione legale, perchè come detto l’utilizzo del token fisico non sembra contraddire la direttiva citata. Non una motivazione tecnica perchè se è stato possibile inviarmi il token una volta credo che sia possibile farlo n volte. Non una motivazione economica perchè sarebbe sufficiente far pagare il token ogni volta che viene cambiato, come si fa ad esempio per le carte.
La dimostrazione ad oggi che questo è possibile è la banca citata da @valerio.bozzolan
a meno che mi sfugga qualcosa della direttiva che ancora quella (la banca) non abbia implementato.
Non riesco a risponderti ma credo che la tua domanda sia collegata a quella fatta da Amreo su Freeotp+ e in generale sull’utilizzo di app floss.
Non esiste solo la sicurezza. Il titolo di questa discussione rappresenta altre esigenze. le implicazioni dell’articolo 1 che ho postato ne rappresentano altre. Non ho detto infatti che gli sms sono più sicuri delle app ma che ‘mi sembra’ una soluzione migliore, considerando queste premesse.
D’altro canto, se fino a ieri usevamo solo la password, l’aggiunta di un fattore (sms) dovrebbe rendere l’autenticazione più sicura.
No. almeno quelli che ho utilizzato io non lo permettono.
Credo (spero di non dire sciocchezze) che ci sia anche una motivazione tecnica, dato che l’OTP è legato al tempo, l’interruzione dell’energia potrebbe fare perdere la sincronizzazione del token.
Al contrario, come da risposta data a Daniele, dovrebbe essere sempre possibile avere un nuovo token.
1 Mi Piace
Credo anche io che la sostituzione della pila mandi fuori sincrono la generazione dei token. Però basterebbe ideare un token con due pile, da cambiare alternativamente, in modo che l’energia non manchi mai…
Anche il fatto che sia costoso distribuire token non lo capisco. Le banche ti fanno pagare anche l’aria che respiri mentre sei in filiale: se uno preferisce il token, perché non provare almeno ad estorcergli 100€?
Dev’esserci un fattore ideologico, non me lo spiego altrimenti.
Rettifico. Anche bper ha imposto l’app, piena di traccianti.
E ovviamente se uno ha un telefono open, s’attacca.
Ho provato a farla funzionare in anbox e sembra che parta, ma non funziona la cam in quell’ambiente, quindi non si riesce ad attivare come secondo dispositivo. Dovrei rimuovere l’associazione dal telefono sul quale l’ho installata x urgenza, ma per rimuoverla chiede WhatsApp, che ovviamente mi rifiuto di installare.
Oppure… mi si nota di più se non installo whatsapp, o se lo installo solo per disaccoppiare la app della banca e poi lo rimuovo subito dopo? (semicit)
Un altro modo di analizzare il problema:
Ciao.
Nella discussione che ho citato è stato creato un repository all’interno del quale sono state messe in una tabella le informazioni fin’ora denunciate quì.
Vi invito a guardarlo per verificare l’esattezza dei dati e per aggiungerne, per dare consigli e fare critiche.
In particolare non ho ben capito se le banche citate da @giomba diano tutte le possibilità di utilizzare gli sms, se questo dipenda dall’ uso della piattaforma MITO e se è prevista anche un app.
1 Mi Piace
Vi invito a guardarlo per verificare l’esattezza dei dati e per
aggiungerne, per dare consigli e fare critiche.
Ciao.
Posso suggerirti di aggiungere un link esplicito alla home page della
banca nella tabella/elenco del repository, per evitare confusione?
Per esempio, “Banca di Cambiano” e “Banca popolare di Cambiano” sono la
stessa banca?
In particolare non ho ben capito se le banche citate da @giomba
https://forum.linux.it/u/giomba diano tutte le possibilità di
utilizzare gli sms, se questo dipenda dall’ uso della piattaforma MITO e
se è prevista anche un app.
Per esperienza personale, Banca Cambiano e Banca Etica, permettono sia
l’uso di app che di SMS.
Non ho altre informazioni.
Ciao.
Non lo dicevo a caso il fatto di guardare e controllare.
Sto estrapolando i dati da questa discussione per diversi servizi, che tra l’altro non conosco personalmente.
Intanto non è “Banca di Cambiano” (come letto nei precedenti post) ma “Banca Cambiano”.
Le due banche che hai citato non sono la stessa cosa perchè mi sono sbagliato era “Banca Popolare di Sondrio” 
Per quello che riguarda i link sono già stati inseriti alcuni e in particolare le sezioni del sito che parlano dell’autenticazione (ciò che ci interessa),
come ho fatto ad esempio per le prime tre banche dell’elenco.
Date le premesse sarebbe più efficiente se chi ha citato la banca si occupasse personalmente di fornire informazioni più dettagliate su di essa e di controllarle.
Ho aggiunto il link alla Banca Cambiano, manca quella di Pisa.
Ho corretto i dati rispetto quello che si conosce fino a questo momento.
Grazie @giomba
Ho messo le mani su un fairphone4 con /e/. Permette di accedere al google play in modo anonimo - senza account. Poi ovviamente c’è fdroid.
L’app bper si installa e funziona senza problemi (e tutte quelle che ho provato finora).
Caratteristica interessante di /e/, di cui non conosco ancora i dettagli: ha una modalità di privacy avanzata, che quando attivata blocca tutti i traccianti delle app installate. Una specie di adblock phone-wide. Falsifica la posizione e maschera l’ip. Tutto configurabile, e tutto out of the box.
L’app bper continua a funzionare anche con questa modalità attiva. Si vede anche quante volte il sistema operativo blocca le chiamate illecite.
A ulteriore riprova che tutti sti benedetti “servizi” non hanno nessuna utilità diretta per l’utente, ma servono solo a chi ci infarcisce le app.
1 Mi Piace
Ciao mythsmith.
Sarebbe interessante raccogliere i vari feedback in un unico posto (ad esempio un wiki).
Le liste che ho menzionato nella tabella, infatti, fanno riferimento solo ad alcune variabili: android senza gapps, microg (il tuo caso), root.
Vengono tralasciate per semplicità e sintesi altre informazioni che potrebbero essere utili, tipo quelle della tua risposta o possibili conflitti tra i feedback.
Ad esempio nella lista riferita a BPER (colonna “A”) si dice che non funzionano le notifiche. E’ anche il tuo caso?
Dato che è un informazione che manca, ti sarebbe possibile provare l’app anche su android senza gapps?
Grazie.
Concordo sulla wiki ed anzi, rilancio con una soluzione più semplice e rapida. Si potrebbe per esempio utilizzare un file README.md sul Gitlab di ILS.
Quando ho pensato di raccogliere i dati di questa discussione in una tabella ho pensato subito anche al fatto di poter inserire altre informazioni (come i feedback) in un wiki come ho visto fare per altri progetti.
Ho chiesto alla comunità e mi è stato suggerito di utilizzare una piattaforma git (github,gitlab etc) e un file readme. E così ho fatto (anche se su codeberg).
Forse ho avuto delle mancanze, ma non ho visto molti contributi esterni.
Mi chiedo se la causa non sia dovuta proprio alla scelta di git, in quanto non tutti hanno dimestichezza con questi strumenti (e io stesso non li ho usati spesso)
Non sono gli spazi web che mancano (tra l’altro tutte le piattaforme citate hanno una sezione dedicata proprio al wiki) ne i contenuti. Quello che manca sono le persone che se ne occupano.
Inutile creare l’ennesimo spazio se poi nessuno partecipa a riempirlo.
Volevo dire che è possibile rendere il primo post come “wiki” e modificabile da tutti qui sul forum.
La tabella poi si fa semplicemente così:
Salve a tutti,
io sono correntista del servizio online di BPM, WeBank, e oltre l’app, ha un sito web davvero ottimo dove si può fare ogni tipo di movimento, con notifiche push attive anche ad ogni transazione Pos, sms gratuiti che però ho disattivato, estratti conto di ogni carta (anche di credito), e funzioni avanzate di pagamento (cbill, bollo auto e tasse varie in PA o PagoPA)
Feedback quindi ottimo e per mia esperienza molto meglio di altri servizi online provati (N26 e postepay) che però tengo a precisare non utilizzo da molti anni ormai, non so di eventuali aggiornamenti.
L’applicazione è richiesta/obbligatoria? Ed è software libero?
L’app non è assolutamente open, ma non è necessaria né per il primo login né per i successivi utilizzi (non è sempre stato così). Il sito web invece non so dirti esattamente come o con cosa sia stato sviluppato
/e/ non ha gapps e lì le notifiche funzionano. Ora sto provando una ulteriore combinazione.
Per me avere app come banca, spid, etc sul telefono è un rischio di sicurezza enorme, perché il cell è sempre in giro con me ed è facile perderlo, inoltre queste app hanno mille trucchi per tracciare ogni cosa che fai.
Quindi sto migrando tutto su una immagine di LineageOS virtualizzata con virtualbox: quando mi serve lo spid, o la banca, o qualsiasi altra cosa proprietaria ed obbligatoria, avvio l’immagine e faccio quel che serve.
Ho già provato con l’app di LepidaID e di BPER, e sembrano funzionare correttamente.
Il piano poi è quello di criptare l’immagine, in modo che anche se perdo il computer (molto meno probabile del cell!) nessuno può facilmente accedervi. Infine, farò dei backup dell’immagine: se cambio telefono o computer non ho bisogno di migrare faticosamente le app critiche (che solitamente vanno reinstallate e riattivate con procedure noiosissime).
1 Mi Piace
Per chiarezza: mi riferivo alla tabella che ho creato nell’altra discussione (Liberare l’utilizzo di OTP).
Questa:
[1] OTP_libre/10_Lista.md at main - OTP_libre - Codeberg.org
in essa, nella riga riferita a BPER, ultima colonna, viene citata un’altra fonte:
[2] https://lista.lealternative.net/#microg
In cui si fa riferimento all’app di BPER.
Quì viene detto che l’app funziona con Microg ma non le notifiche.
[3] La colonna ‘SENZA MICROG’ fa riferimento ad un installazione senza gapps (naturalmente).
Il comportamento senza Microg non è stato testato (o meglio non sono arrivate segnalazioni positive/negative)
/e/ utilizza Microg (che sono un alternativa alle gapps)
Io dicevo se potevi testarlo anche rispetto [3], su altro telefono,
dato che comunque utilizzi il servizio.
Il fatto che tu dica che le notifiche funzionano contraddice quanto detto in [2]
e conferma l’interesse nel raccogliere più feedback e confrontarli/analizzarli.
Per quel che riguarda la virtualizzazione non entro nel dettaglio, ma è comunque una possibilità
(interessante), anche se non proprio semplice e immediata, specie per un utente inesperto.
Grazie per averla condivisa.
La mia banca unicredit fino a quest’anno l’ho sempre usata senza applicazione ma con un token che generava delle password , negli anni ho cambiato il token più volte adesso da qualche mese ho l’applicazione e il fatto di dover validare l’accesso da PC usando l’applicazione sul telefono mi infastidisce abbastanza . Ci sono altri servizi che usano questi sistemi di autenticazione l’ultimo con cui mi sto scontrando è l’autenticazione per entrare nel mio account teams lavorativo da casa ( stanno digitalizzando richieste ferie e tutto il resto ) anche per questo ho dovuto installare un autenticatore sul telefono . Ho obiettato che mi collego da PC e così sono obbligato ad avere lo smartphone sempre disponibile e funzionante ,non mi sanno rispondere hanno assunto una persona dedicata perché il passaggio sta creando non pochi problemi ,sto insistendo ma sul fatto di trovare un alternativa all’autenticarsi con l’app non mi sanno rispondere