Provider SPID e FLOSS

Salve,

ci sono dei provider SPID che non richiedono l’utilizzo di software proprietario per l’OTP?

Io uso quello delle Poste ma fornisce solo 9 accessi via SMS, dopo i quali deduco sia necessario installare l’app proprietaria delle Poste.

2 Mi Piace

Qui trovi una tabella riassuntiva dei vari provider

In particolare c’è la colonna relativa alla password OTP via SMS. Vedo che alcuni la forniscono a pagamento ed altri gratuitamente.

Ciao,

ti ringrazio. Il problema di quella lista è che non ha sufficienti informazioni (es. il limite dei 9 SMS per Poste). Lo SPID ha inoltre 3 livelli di sicurezza. Il terzo livello per Poste richiede l’utilizzo dell’app Poste. Il problema è sicuramente l’app in sé, che è proprietaria, ma anche il fatto che sia richiesto un account Google su Android per accedervi (so dell’esistenza di store alternativi ma credo sia solo un diversivo, il problema è un altro).

Prendi questa cosa con beneficio di inventario, ma mi sembra che l’app delle Poste sia disponibile anche su Aurora Store. Dovrebbe funzionare anche senza un account Google ma richiede che il Google Play Service sia attivo.

Sul fatto che siano app proprietarie mi sa che non c’è molto da fare.

Grazie, tuttavia non è che mi fidi molto di store terzi…inoltre credo sia anche contro i termini di servizio del Play Store. Vorrei poter esercitare la mia cittadinanza nella legalità…

Però per farlo puoi usare solamente play store che è software proprietario. Ti va bene lo stesso?
Credo che ti convenga piuttosto installare tramite aurora store che è software libero e scarica software solo da play store. Ti puoi fidare tranquillamente di aurora store.

Come ha già detto @amreo, Aurora è una sorta di interfaccia alternativa a Google Play Store, quindi le app sono quelle ufficiali. Ad essere in dubbio è solo la modalità con Aurora accede al Play Store.

Però non capisco una cosa… Ti infastidisce che la app spid non siano opensource ma accetti tranquillamente i termini di servizio di Google?

Però non capisco una cosa… Ti infastidisce che la app spid non siano opensource ma accetti tranquillamente i termini di servizio di Google?

No, il contrario: ho aperto il thread proprio per cercare un’alternativa alle app proprietarie, incluso il Play Store (che non utilizzo).

Ma usando Aurora Store violerei i termini di servizio di Google ugualmente, perché dubito esista una clausola che permette a store esterni di accedere ai propri server.

Quello che chiedo è di non usare alcun software proprietario. Mi va bene un’autenticazione via dispositivo fisico senza driver (es. lettore di smart card) o via SMS, non via app.

Ho sempre usato lepida e non mi ha mai chiesto app. Sempre e solo sms per qualsiasi livello di sicurezza.

Però il tema delle app è interessante, come lo sarebbe determinare se contengono tracciatori dei soliti noti (come Io e Immuni…).

EDIT: Qualche giorno fa è arrivata una comunicazione di lepida. Gli sms sono ridotti a 4 a quadrimestre. Sarà di fatto obbligatorio installare l’app tracciante.

Perdonami, ma è il sistema operativo Android ad essere In gran parte proprietario. La parte opensource (Android Open Source Project) è solo un piccolo pezzo della distribuzione commerciale.

Ma a parte questo, se il canale SMS va bene forse la via più semplice è contattare i vari fornitori e chiedere se offrono il servizio ed eventualmente con quali limitazioni. Ad esempio TIM ha un po’ di documentazione qui: https://spid.tim.it/tim-id-portal/page/info.html

E stando a questo documento (http://www.trusttechnologies.it/wp-content/uploads/SPIDPRIN.TT_.DPDS15000.00-Descrizione-del-servizio-TIM-ID.pdf) il livello 2 lo gestisce proprio tramite SMS

Sono 8 accessi a trimestre. Io cerco di farmeli bastare. Vediamo quanto resisto senza la loro app.
Aruba ti fornisce in alternativa il generatore di OTP anche se sinceramente pensavo fosse una tecnologia poco sicura.

Col tempo immagino poi che molti servizi della PA permetteranno l’uso di CIE via lettura NFC e magari anche Spid accetterà tale riconoscimento usando proprio la CIE e lo smartphone dotato di tale tecnologia. L’applicazione dirà “avvicina la CIE allo smartphone” e zac!

Personalmente preferirei ricevere un OTP tramite PEC. Ci penso io a gestirmi notifiche e accesso in sicurezza alla mail tramite 2FA. Ultimamente ho visto che Firefox gestisce la 2FA con KeePassXC. Mia mal

Anch’io non gradisco installare app. E l’app per la firma digitale, e l’app per il conto corrente, e l’app Spid, e poi? Immagino la perdita di tempo se volessi cambiare numero di telefono. Fermate! Voglio scendere…

1 Mi Piace

Ma infatti personalmente farei a meno sia dello smartphone che dell’autenticazione SMS, essendo questa poco sicura. L’idea di @olazzari, OTP via PEC, mi sembra francamente la migliore e mi chiedo perché non sia permessa! Questa potrebbe essere una buona campagna per ILS a mio avviso, perché l’idea che ai cittadini sia impedito l’esercizio di alcuni dei propri diritti (direttamente nel caso di IO, indirettamente nel caso dello SPID che è erogato da terzi) se non muniti di account Google/Apple e/o cellulare Android/iOS è una minaccia maggiore alla libertà del software che qualunque altra cosa mi venga in mente.

1 Mi Piace

Anch’io da molto tempo ho cercato dei provider che non richiedano l’utilizzo di una applicazione proprietaria per generare l’OTP, ma non ne ho trovati. Sono giunto alla conclusione che l’unico modo è o utilizzare il servizio di SMS o estrarre il secret dalle applicazioni dei vari provider. Già perché penso che tutte utilizzino lo standard TOTP, ma non sono obbligate a permettere l’uso di applicazioni di terze parti e quindi ne distribuiscono una propria. Per estrarre il secret bisogna fare ingegneria inversa, quindi una pratica poco legale, ma non sono sicuro del tutto perché se fatta per l’interoperabilità allora dovrebbe essere permessa. In questo articolo di Jacopo Jannone per esempio mostra come estrarre i secret per alcuni provider. Io ho fatto una cosa simile per Sielte, estraendo il secret intercettando la comunicazione tra applicazione e i server, e ora ho il secret in generatore di token FOSS.

2 Mi Piace

Ci sono novità su questo fronte? Qualcuno ha provato altri provider (come Intesa)?

Ci sono novità in merito? Ho appena scoperto che Poste pianifica di eliminare progressivamente anche gli 8 SMS concessi a trimestre:

L’accesso tramite password temporanea inviata via SMS sarà disabilitato progressivamente. Se possiedi l’Identità Digitale PosteID e fino ad oggi hai preferito utilizzare gli SMS per accedere, potrai tranquillamente continuare ad accedere utilizzando l’App PosteID. (fonte)

Anche se, a quanto pare, Poste continuerà a consentire agli over 70 l’utilizzo di OTP via SMS (fonte: login via PosteID). Sottolineo che, al di là della questione software proprietario, l’app PosteID non funziona su tutti i dispositivi mobili: mi è capitato un tablet Android sul quale essa non funzionava.

Inoltre di recente il governo ha parlato di “migliorare” lo SPID (fonte): forse è il momento di portare queste istanze sul tavolo del sottosegretario con delega al digitale Butti. ILS ha modo di contattarlo?

Ecco virano tutti verso l’autenticazione con l’applicazione . È una cosa che non sopporto . Rimetterò in marcia un vecchio smartphone solo per queste cose da tenere di fianco al PC ma mi sembra una cosa inutile e scomoda .

Non capisco perché non permettano di utilizzare un qualsiasi autenticatore HOTP/TOTP, come Aegis Authenticator su Android. Se la priorità è la sicurezza, non vincolare gli utenti ad un’unica applicazione proprietaria è la scelta migliore.

1 Mi Piace

Proverò a suggerirlo siamo in fase sperimentale magari mi ascoltano noi stiamo usando Netql advanced autenticato. Ma l’ideale sarebbe un autenticatore che si possa usare da PC