c.m.g
27-02-2017, 13:49
lunedì 27 febbraio 2017
Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle password via software
Roma - Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo, secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché?
Perché la società dell'informazione richiede una cultura e una pratica della sicurezza; e un'infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai).
La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza.
L'equilibrio tra interesse pubblico e interessi privati, quando funziona, è un'ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole.
Infatti si potrebbe andreottianamente pensare che l'attuale assenza di un'offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un'app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po' pesante. I 24 lettori sono avvertiti...
AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
Attualmente l'adeguatezza dell'Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l'edizione XIX di e-privacy, è adesso in votazione nell'organo tecnico UNI/CT 510/GL 02 ed è intitolato "E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell'autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115".
Continua su Punto Informatico =======>> (http://punto-informatico.it/4373413/PI/Commenti/cassandra-crossing-difendiamo-spid3.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/4373413/PI/Commenti/cassandra-crossing-difendiamo-spid3.aspx)
Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle password via software
Roma - Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo, secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché?
Perché la società dell'informazione richiede una cultura e una pratica della sicurezza; e un'infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai).
La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza.
L'equilibrio tra interesse pubblico e interessi privati, quando funziona, è un'ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole.
Infatti si potrebbe andreottianamente pensare che l'attuale assenza di un'offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un'app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po' pesante. I 24 lettori sono avvertiti...
AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.
Attualmente l'adeguatezza dell'Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l'edizione XIX di e-privacy, è adesso in votazione nell'organo tecnico UNI/CT 510/GL 02 ed è intitolato "E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell'autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115".
Continua su Punto Informatico =======>> (http://punto-informatico.it/4373413/PI/Commenti/cassandra-crossing-difendiamo-spid3.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/4373413/PI/Commenti/cassandra-crossing-difendiamo-spid3.aspx)