Content tagged Spid

Uscite di sicurezza
posted on 2021-05-23 23:33

Oggi dovevo accreditare un centinaio di euro sul sito del servizio mensa per la scuola della primogenita.

Ci si può registrare con nome e password oppure entrare con Spid. Preferisco quest’ultimo sistema perché, sì, registrarsi è un piacere pari a quello di una colonscopia e, se qualcosa si rompe nel meccanismo, meglio sei mesi di sedute dal dentista.

Nel mezzo di queste due parentesi, tuttavia, il servizio funziona bene e in questo è essenziale il potersi autenticare con FaceID al posto di scrivere l’ennesimo codice.

Entrato con Spid, che apre la porta al servizio mensa ma anche a qualunque servizio della pubblica amministrazione e come tale è considerato dall’Italia un sistema di identificazione assai sicuro, accredito il denaro e, per farlo, posso usare solo una carta di credito. Essere entrato con Spid non mi serve a niente: il sito demanda la sicurezza della transazione alla società che emette la carta. Ma allora, che sicurezza tutela l’accesso con Spid?

Le misure di sicurezza digitale della pubblica amministrazione non hanno alcun nesso con la sicurezza effettiva; sono pensate programmaticamente al solo scopo di ostacolare, rallentare, intralciare l’utente.

La banca (semplifico) dietro la carta di credito fa del suo meglio per rendere sgradevole l’operazione. Prima vogliono tutti i dati della carta, poi mandano l’Sms con il codice di approvazione, poi vogliono quello creato dall’utente. Qualcosa nel caso abbiano rubato la carta ma non il telefono, qualcosa se fosse stato rubato il telefono ma non la carta, qualcos’altro per evitare un attacco man-in-the-middle e così via.

La banca non pensa in termini di sicurezza globale, ma si accorge di un problema per volta e, invece di allestire una soluzione globale, accatasta una soluzione sull’altra per affrontare un problema dopo l’altro.

Non basta che io sia entrato via Spid sul sito? Se la transazione dipende da codici numerici, a che serve inviare la data di scadenza della carta? Perché non posso metterci la faccia e autenticarmi grazie a FaceID, più sicuro di qualsiasi Pin e controPin?

Alla fine la pagina mostra un gateway error 504 o qualcosa del genere. Per esperienza so che la transazione è riuscita, perché alla fine della transazione su quel sito con quella banca esce sempre quell’errore. Sospetto che un hacker ben motivato, su questa circostanza, andrebbe a nozze, alla faccia di codici e password.

Il sito è sempre molto meno sicuro di quanto lasci intendere il suo sistema di autenticazione, che serve solo a salvare le apparenze ed eventualmente scaricare eventuali responsabilità.

Neanche mi ricollego al sito per controllare che davvero la transazione sia avvenuta. Arriva una email di conferma, con dentro tutti i dettagli della transazione e due terzi del numero della carta di credito. La email viaggia in chiaro. Anche qui, per un hacker motivato, poter collegare con certezza una transazione a un utente è una bella occasione di divertimento.

Il responsabile della sicurezza è sempre una persona solitaria, intorno alla quale l’azienda commette qualsiasi errore possa giustificare una cospicua ignoranza interna di che cosa implichi garantire la sicurezza.

Alla fine arriva sempre qualcuno a dire sì, ma ti conviene usare 1Password (sostituire con il password manager prediletto). Certamente è molto comodo; poi consolida i mille punti deboli della mia sicurezza personale (perchè ogni Pin, ogni codice, ogni password, ogni autenticazione è un punto critico suscettibile di attacco) in un unico punto debole, la cui eventuale caduta significa la resa incondizionata al pirata di turno.

Alla fine dei conti, qualunque procedura di sicurezza ruota attorno a un singolo codice.

Mentre approfondisco la faccenda dei commenti per il blog, chi vuole lasciare comunque un commento da qui può accedere liberamente alla pagina commenti di Muut per QuickLoox. Non è ancora (ri)collegata a questi post (è lo scopo di tutto l’esercizio). Però lo sarà.

This blog covers 1802, 1Password, 1Writer, 276E8VJSB, 50 Years of Text Games, 512 Pixels, AAC, AI, AR, Acer, Adium, Adobe, AirPods, AirPort Express, AirPort Extreme, AirTable, AirTag, Akko, Al Evans, Alac, All About Apple, All About Apple Museum, Altroconsumo, Amazon, Amd, Anagrafe, Android, Andy Hertzfeld, Anteprima, App Store, App Tracking Transparency, Apple, Apple Arcade, Apple Distinguished School, Apple Gazette, Apple II, Apple Music, Apple Park, Apple Silicon, Apple Store, AppleDaily, AppleInsider, AppleScript, Aqua, Aqueux, Arm, Ars Technica, Ascii, Asymco, Audion, Automator, Axios, BBEdit, Backblaze, Bandley Drive, Basecamp, Battle for Polytopia, Beeper, Bell Labs, Benjamin Clymer, Big Mac, Big Sur, Bing, BirchTree Mac, BlastDoor, Braille, Bruno Munari, Cap’n Magneto, Carbon, Carbon Copy Cloner, Carlo Canepa, Cartoonito, Catalina, Cbs, Chaplin, Cheetah, China Railway Shenyang, Cina, Clubhouse, Coleslaw, Comandi rapidi, Come un ombrello su una macchina da cucire, Common Lisp, Comune, CorpoNazione, Cortana, Covid, Covid-19, Creative Cloud, Cupertino, DaD, Dad, Dalian, Dan Peterson, Daring Fireball, Dediu, Dell, DisplayPort, Disqus, DocC, Dock, Dolby Atmos, Dolphin, Doom, Dortmund, Dr. Drang, Drafts, DuckDuckGo, Dungeons and Dragons, Edimburgo, Edinburgh Learns for Life, Editorial, Elio e le Storie Tese, EpocCam, Erc, Everyone Can Create, Excel, Exchange, ExtremeTech, Eyepatch Wolf, Fabio Massimo Biecher, FaceID, Facebook, Federico Viticci, Feedly, Finder, Flac, Flappy Birds, Flash, Flavio, Flurry Analytics, Fondazione, Ford, Franco Battiato, Frix, Fsf, Fëarandil, G3, GQ, Geekbench, Geneforge 1 - Mutagen, Gianni Catalfamo, Giorgio Dell’Arti, GitHub, Gizmodo, Gnu, Go, Google, Google Play, Gplv3, HP, HP Smart, Hafnium, Halide, Happy Scribe, Hdmi, Hearthstone, Hemlock, Hewlett-Packard, Hey, Hii, Hodinkee, HomePod Mini, Horace Dediu, Html, Huawei, Il ritorno del Re, Il vitello dai piedi di balsa, Immuni, Incunabolo, Insegnanti 2.0, Inside Macintosh, Intel, Internet, Internet Explorer, Internet Relay Chat, Irc, Isaac Asimov, It is better to be a pirate than join the Navy, Ivacy, Jacob Kaplan-Moss, Jason Snell, JavaScript, Jeff Bezos, Jeff Vogel, Joanna Stern, John Gruber, John Perry Barlow, Jonathan Ive, Jägermeister, Kagi, Kansas City Chiefs, Krebs, LG, La classe capovolta, LambdaMOO, Larry Wall, LaserWriter, LibreItalia, LibreOffice, Lidar, Lightroom, Liguria, Linus Torvalds, Linux, Lisp, Luca Accomazzi, Luca Bonissi, Lucy Edwards, Lux, M1, M118dw, Mac, Mac OS X, Mac mini, MacBook Air, MacBook Pro, MacMomo, MacRumors, MacSparky, MacStories, Macintosh, Macintosh Plus, Macworld, Mail, Mailchimp, MarK Twain, Marco, Markdown, MarsEdit, Martin Peers, Matt Birchler, Matteo, Matthew Cassinelli, Mavericks, Mediaworld, Medium, Meet, Memoji, MessagePad, Microsoft, Mike Bombich, Mike D’Antoni, Mission Control, Mission Impossible, Model One Digital+, Model T, Mojave, Mount Sinai, Mp3, Muut, Nanchino, Nasa, Neil Young, NetHack, NetHack Challenge, NetNewsWire, New York Times, Newton, Newton Press, Nicola D’Agostino, Nokia, Notifiche, Notre-Dame, NovaChat, OBS Camera, OBS Studio, OS X, Object Capture, OldOS, Olimpia, OpenDocument, OpenDocument Reader, Ordine dei Giornalisti, P3, PageMaker, Pages, Panic, Paola Barale, Paolo, Paolo Attivissimo, Parallels, Patreon, Patrick Mahomes, Pdf, Penn, People, Perl, Perseverance, Pfizer, Philip Elmer-DeWitt, Philips, Photoshop, Pixel Envy, Plan 9, Play Store, Playdate, PowerBook, PowerBook Duo, PowerPC, PowerPoint, Preferenze di Sistema, Pro Display Xdr, Procter & Gamble, Project Zero, Python, Queen, QuickLoox, Radio.Garden, Rai, RaiPlay Yoyo, Raspberry Pi, Raymond, Raz Degan, Recenti, Reddit, Richard Stallman, Rss, Runescape, Ryzen, Safari, Samsung, Sars, Savona, Scott Forstall, Screen Time, Scripting, Shortcuts, Shortcuts Catalog, Simone Aliprandi, Six Colors, SkilledObject, Slack, Sony, South African Revenue Service, Spaces, Spatial Audio, Spid, Spiderweb Software, St. Therese Catholic Primary School, Steve Jobs, Stevie Wonder, Storie di Apple, Sudafrica, Super Bowl, Super Mario Bros, Swift, Swift Playgrounds, SwiftUI, Taio, Tampa Bay Buccaneers, Teams, Tech Reflect, Teller, Tempi moderni, Terminale, Tesla, TextEdit, Textastic, The Briefing, The Eclectic Light Company, The Information, The Motley Fool, The Verge, Think Different, Thoughts on Flash, TikTok, Tim Cook, Tivoli, Tivoli Audio Art, Toca Boca, Tom Brady, Tom Taschke, Tommaso, Toshiba, Travis Holm, Trillian, Trilogia Galattica, Tweetbot, Twitter, TypeScript, U1, Unix, Utf-8, Vesa, Visual Studio, Visual Studio Code, Vpn, VxWorks, WWDC, Walkman, West Coast, Windows, Windows Phone, Wired, Wishraiser, Word, WordPress, World of Warcraft, Wwdc, Xcode, Xdr, Xi, Yoda, YouTube, Zoom, Zune, adware, cartelle smart, cookie, coronavirus, cybersecurity, desktop publishing, ePub, emacs, emoji, hyper key, i3, iBooks Author, iCloud, iMac, iMessage, iMovie, iOS, iOS 14, iOS 14.5, iOS 14.5.1, iPad, iPad Pro, iPadOS, iPadOS macOS, iPhone, iPhone 12 mini, iPhone 6, iPhone 6s, iPhone SE, iPod, iTunes, isso, jailbreak, lossless, macOS, macOS 11.4, malware, npm, open source, privacy, programmazione, remote working, rsync, sandbox, scuola, setteBit, software, soup, tag, uptime, walled garden, watchOS, x86, zip, Arcade, tv, watch, watch SE

View content from 2021-06, 2021-05, 2021-04, 2021-03, 2021-02, 2021-01


Unless otherwise credited all material Creative Commons License by lux