Die SPID laut Cassandra

Dies ist ein automatisch aus dem Italienischen übersetzter Text. Wenn Sie unsere Arbeit schätzen und sie gerne in Ihrer Sprache lesen, denken Sie über eine Spende nach, damit wir sie weiterhin durchführen und verbessern können.

Die Artikel von Cassandra-Kreuzung Ich bin unter Lizenz CC BY-SA 4.0 | Cassandra-Kreuzung ist eine Spalte, die von erstellt wurde Marco Calamari mit dem „nom de plume“ von Kassandra, geboren 2005.

Nach unser Artikel über SPID (das viele Kommentare und Besuche erhielt 🧡) haben wir beschlossen zu sammeln Cassandras Gedanken, Zweifel und Prophezeiungen auf der SPID. Wir stellen fest, dass einige Anfragen und Bedürfnisse fast völlig unbeantwortet geblieben sind, wie zVerwendung physischer Token für den OTP-Code: Derzeit wird es nur vom Anbieter freigegeben Aruba! Endlich, dasNIST-Meinung (Nationales Institut für Standards und Technologie) von 2016.

Viel Spaß beim Lesen!

Dieser Artikel wurde geschrieben am 21. April 2016 von Cassandra

Blitze von Cassandra/Ist SPID tot geboren?

Per SMS betriebene Zwei-Faktor-Authentifizierungssysteme leiden unter strukturellen Problemen, wie Untersuchungen der Universität Amsterdam zeigen. SPID-2 basiert genau auf diesem Mechanismus.

Wahrscheinlich wissen es sogar einige der 24 gut informierten Leser nicht SPID, Akronym für „Public Digital Identity System“, das sich selbst definiert als „Die Lösung für den Zugriff auf alle Online-Dienste der öffentlichen Verwaltung und Privatpersonen mit einer einzigen digitalen Identität“. Bevor Cassandra zu düsteren Prophezeiungen übergeht, muss sie daher einige Informationen bereitstellen, die auch sehr leicht im Internet verfügbar sind. Daher ist SPID, bei Menschen mit langem Gedächtnis auch als „Renzis PIN“ bekannt, eine öffentliche Schöpfung und Verbreitung System digitaler Identitäten, das vom italienischen Staat kontrolliert und von privaten Anbietern erstellt wird, die von ihm zertifiziert und in einem speziellen Register registriert sind. Es wird tatsächlich genauso verwaltet wie bei zertifizierter elektronischer Post, mit der glücklicherweise beides nützliche Tools geschaffen wurde Für den Bürger ist es für einige IT-Dienstleistungsunternehmen ein ehrliches Geschäft. Die Probleme, mit denen das SPID derzeit zu kämpfen hat, sind kommerzieller und technischer Art.

Der kommerzielle Teil ist wie üblich fällig kunstvoll verpackte Ankündigung („nur Unternehmen mit mindestens 5 Millionen Euro Umsatz“) scheint der Fall gewesen zu sein vor kurzem gelöst.

Die technischen Probleme haben gerade erst begonnen, sind aber bereits sehr besorgniserregend: Nehmen wir uns einen Moment Zeit, um herauszufinden, warum. Wer eine digitale Identität benötigt, kauft diese bei einem Anbieter seiner Wahl: Derzeit gibt es drei.

Die Lieferanten, die über eine angemessene zertifizierte administrative und technische Struktur verfügen, erkennen die Person, überprüfen ihre Identität und stellen die angeforderten Berechtigungsnachweise aus. Mit diesen Anmeldeinformationen kann der Benutzer (bald) authentifizieren sich gegenüber allen Websites und Diensten der öffentlichen Verwaltung sowie gegenüber allen kommerziellen Websites und Diensten, die es übernehmen möchten.

Und in den ersten zwei Jahren sind die Zugangsdaten auch „Alle“ und „Kostenlos“ erhältlich. Schön, oder?

Ja, aber auch nein, und mal sehen, warum.

Es gibt drei Arten von Anmeldeinformationen: SPID-1, SPID-2 und SPID-3 ist ein fester Benutzername mit einem vom Benutzer änderbaren Passwort: gut für die Authentifizierung in einem sozialen Netzwerk oder einer E-Mail-Liste, aber sicherlich nicht gut für eine Steuererklärung, eine Zahlung, eine Abstimmung oder die Vorlage eines Haushaltsplans. Laut Cassandra sollte es gar nicht existieren, weil es eine Kultur der Unsicherheit implementiert. SPID-3: digitale Token-Authentifizierung. Im Moment stellt es niemand zur Verfügung, daher ist es schwierig, eine Meinung dazu abzugeben, außer dass es sich um die Verdreifachung zweier anderer Dienste handelt, die mit der gleichen Wirksamkeit genutzt werden könnten, d Gesundheitskarte ). Da es sich nicht um eine Vervielfältigung, sondern um eine Verdreifachung handelt, sollte es SPID-3 auch nicht geben. SPID-2 ist eine Zwei-Faktor-Authentifizierung, Benutzername und Passwort, kombiniert mit der Generierung eines temporären Codes, der per SMS oder mit einem dedizierten Mobiltelefon versendet wird App. Er ist bereits weit verbreitet und wird vor allem von Banken genutzt, lässt sich aber auch in einer anderen, sichereren und teureren Variante realisieren, bei der der temporäre Code jede Minute durch einen kleinen Token mit LCD-Anzeige generiert wird, der zu Hause oder am Schlüsselbund aufbewahrt wird Bei SPID-2 handelt es sich jedoch nicht um die Verwendung eines physischen Tokens, sondern nur um die SMS-Version. Und hier kommt der Schmerz.

Tatsächlich wurde ein sehr interessantes Buch veröffentlicht Forschung der Universität Amsterdam mit dem Titel „How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication“, also „Wie die Integration von Smartphones und PCs die Zwei-Faktor-Authentifizierung per SMS gerade getötet hat“. Die Rede ist von den bekannten Synchronisierungen in den verschiedenen Clouds und zwischen den verschiedenen Betriebssystemen unserer technischen Geräte, die zwar praktisch, aber auch sehr riskant sind, nicht nur aus Datenschutzgründen.

Auf den 17 übersichtlichen Seiten wird die Implementierung gezielter Angriffe auf das Knacken von Systemen mit temporärem Code per SMS sowohl in Android- als auch in iOS-Umgebungen in präziser und schonungsloser Prosa detailliert beschrieben und kommt zu dem Schluss, dass es eine schwierige und kostspielige Herausforderung sein wird, die Zwei-Faktor-Authentifizierung per SMS einigermaßen sicher zu halten . Für diejenigen, die keine Zeit finden, das Papier zu lesen (und es wird weh tun), ist es wichtig zu betonen, dass es sich bei dem gemeldeten Problem nicht um die einfache Ausnutzung einiger Fehler handelt, die dann korrigiert werden, um das Problem zu lösen selbst. Das dargelegte Problem ist systemischer und tiefer liegende, daher auch schwerwiegender und schwieriger zu beheben, da es im Widerspruch zur Benutzerfreundlichkeit von Produkten steht. Es besteht das Problem, dass sich mehrere Geräte automatisch und auf unterschiedliche Weise untereinander und mit der Cloud synchronisieren können. Mechanismen dieser Art, die sich ständig vermehren, weil sie immer notwendiger werden, können auch ohne echte Softwarefehler gehackt werden, da sie verschiedene Geräte miteinander kommunizieren lassen müssen, ohne den Benutzer zu sehr zu stören (und daher „schönere“ Produkte zu haben). werden immer an sich schwach sein, weil sie aus kommerziellen Gründen vor allem flexibel und einfach zu bedienen sein müssen. Daher wird die Sicherheit, die schon immer das Aschenputtel der Unterhaltungselektronik war, in ihren Schlussfolgerungen noch weniger berücksichtigt, wenn stattdessen das Papier , betont, dass die Probleme im Zusammenhang mit der Eigensicherheit immer schwerwiegender werden und nicht mehr beherrschbar sind. Lesen Sie es, auch weil die Agentur für digitales Italien wahrscheinlich keine Zeit dafür hatte.

Wenn SPID-2 stattdessen eine Zwei-Faktor-Authentifizierung mit Hardware-Tokens wäre, wäre es auch anfällig für Man-in-the-Type-AngriffeBrowser (MitB), es wäre jedoch weitaus schwieriger zu knacken und insbesondere im großen Maßstab zu knacken.

Na und? Auch wenn SPID-2 nicht wirklich tot geboren wurde, handelt es sich leider um ein sehr ernstes Risiko für Neugeborene. Cassandra hält es wie ihre beiden Schwestern für eine entschieden nicht ratsame Lösung. Über SPID als italienische digitale Initiative muss man sich stattdessen noch einmal Gedanken machen. Die Verletzung Ihrer (hypothetischen) Referenzen SPID birgt weitaus schwerwiegendere Gefahren als das bloße Leeren Ihres Bankkontos. Anmeldeinformationen sind „Sie“ überall. Sie müssen sicher sein und mit Vorsicht verwendet werden. Da sie einzigartig sind, können sie dazu verwendet werden, sich als Sie auszugeben und Aktionen auf unzähligen Websites und Diensten auszuführen, von denen Sie nicht einmal wissen, dass sie existieren.

Aus diesem Grund gilt laut Cassandra das, was damals für SPID gesagt wurde, auch für SPID CEC-PAC und andere italienische digitale Horrorgeschichten.

Nicht einmal kostenlos.

Dieser Artikel wurde geschrieben am 26. Mai 2016 von Cassandra

Lampi di Cassandra 372/ SPID, eine Debatte ist unerlässlich

Cassandras Bericht über die strukturellen Mängel von SPID wurde gesammelt, es bestehen jedoch weiterhin Zweifel. Aus diesem Grund ist der Austausch zwischen Experten und Institutionen unerlässlich. Vielleicht im Zusammenhang mit E-Privacy.

SPID war Gegenstand derExternalisierung von Cassandra von vor ein paar Wochen. Digitale Agenda, eine Online-Informationszeitung, die Italiens Schritte in Richtung Digitalisierung verfolgt, veröffentlicht heute eine Artikel Reaktion und Klarstellungen.
Zunächst dankt Cassandra den Autoren des Artikels, zwei Vertretern eines Unternehmens, das im Bereich der Digitalisierung tätig ist, und der Zeitung für die interessante Dialektik und nutzt die Gelegenheit, angehende Redner, Vertreter der Zeitung oder von AgID alle einzuladen Ausgabe 2016 von E-Privatsphäre die am 24. und 25. Juni in Pisa stattfindet und deren Thema „SPID und digitale Identität“ ganz diesen Themen gewidmet ist.

Nachdem dies gesagt ist und auf die Begründetheit eingegangen wird, der Klarstellungsartikel von Digitale Agenda ist interessant, aber nach Meinung des Autors geht es weder auf die in Cassandras Artikel angesprochenen Punkte noch auf die des Autors ein Papier der Universität Amsterdam, die in dem Artikel zitiert wurde. Im Wesentlichen enthält die Antwort der Autoren eine hervorragende detaillierte Erklärung, wie „Man in the“-Angriffe funktionieren Browser“ und die reduzierende und nicht sehr nützliche Schlussfolgerung, dass bei einer Infektion des PCs nichts getan werden kann; erwähnt auch a interessanter Artikel über die rechtlichen Verantwortlichkeiten einer solchen Situation.

Allerdings bleiben die meisten der in Cassandras Aufsatz und Artikel aufgeworfenen Fragen unbeantwortet: Lassen Sie uns sie kurz zusammenfassen und klären.

Das Papier schließt mit der grundsätzlichen Argumentation, dass die Zwei-Faktor-Authentifizierung mit der zunehmenden Komplexität des persönlichen IT-Ökosystems zunehmend unzureichend sei und dass die Authentifizierung mit Software-Tokens (SMS auf Mobiltelefonen) ohnehin viel schwächer sei als die eine mit Hardware-Token (Schlüsselanhänger mit der Nummer, die sich jede Minute ändert), und aus diesem Grund muss die erste zugunsten der zweiten verworfen werden. Tatsächlich versucht die fortschrittlichste Malware, nachdem sie den PC infiziert hat, auch das Mobiltelefon zu infizieren Telefon. Wenn der Vorgang erfolgreich ist, müssen sie nicht darauf warten, dass der Benutzer eine einzige Transaktion ausführt, um eine einzige betrügerische Transaktion durchzuführen, sondern können beginnen, im Namen und Auftrag des Benutzers eine unbegrenzte Anzahl von Transaktionen durchzuführen Wenn es sich bei der kompromittierten Methode nicht um die einer einzelnen Bank, sondern um die einer digitalen Identität wie SPID-2 handelt, kann Malware nicht nur auf der kompromittierten Site, sondern auf jeder anderen Site agieren, die SPID-2 verwendet mit SMS, immer ohne dass der Benutzer, der inzwischen vielleicht sogar im Bett liegt, etwas merken kann. Der Risikounterschied ist katastrophal und wird im Artikel leider nicht erwähnt. Die Gegenmaßnahme wäre sehr einfach Es würde ausreichen, dass die SPID-2-Anbieter gezwungen wären, nur die Version mit One-Time-Password-Generator (Schlüsselring mit einer kleinen Zahl, die sich jede Minute ändert) anzubieten, und alle diese Risikoprofile würden verschwinden. Aber es kostet mehr, und zufälligerweise keines davon Die drei aktuellen (und zukünftigen) Anbieter von SPID bieten es an, genauso wie niemand das noch sicherere SPID-3 anbietet.

Der Artikel von Digitale Agenda reagiert nicht einmal auf die Behauptung, dass SPID-1, das zusammen mit SPID-2 bereitgestellt wird, aus ähnlichen Gründen so riskant ist, dass es (nach Meinung dieses Autors) überhaupt nicht existieren sollte, und dass die einzige digitale Identitätsinfrastruktur vernünftigerweise die SPID ist -3 man ist sicher.

SPID-3 existiert jedoch nicht nur noch nicht, sondern ist auch nicht notwendig, da dort bereits zwei Systeme implementiert sind, die CSA – National Services Card (Gesundheitskarte) und die Certified Electronic Signature (normale Signaturgeräte). wurde noch diskutiert, und E-Privacy wäre ein hervorragender Kanal, um der Öffentlichkeit gute Informationen über die Chancen und Risiken eines öffentlichen digitalen Identitätssystems zu bieten. Ich erneuere daher die Einladung zur Diskussion am 24. und 25. Juni warten auf dich.

Dieser Artikel wurde geschrieben am 28. Juli 2016 von Cassandra

Blitze von Cassandra/ SPID2, die Meinung von NIST

In den USA wird die Zwei-Faktor-Authentifizierung per SMS abgelehnt und bald aus dem Verkehr gezogen. Und es geht nicht nur um Malware.

SPID2 war bereits Gegenstand von Cassandras Kommentaren: Unser Freund behauptete, dass das aktuelle SPID-Angebot, beschränkt auf SPID2 mit SMS, unsicher und aus Sicherheitsgründen kontraproduktiv sei, insbesondere aufgrund der Möglichkeit von Smartphone-Infektionen durch fortgeschrittene Malware.

Digitale Agenda, eine Online-Informationszeitung, veröffentlicht ein Artikel Darin wurde im Wesentlichen argumentiert, dass es sich um einen Angriff handele, wenn ein Gerät infiziert sei Mann-im-Browser oder Der Mann in der Mitte Es ist ein fortlaufender Prozess, es gibt keinen doppelten Faktor, der zählt.

Zwar stimmt es sicherlich, dass es gut und richtig ist, keine Malware auf dem Smartphone zu haben, doch im SPID-Kontext ist dies eine vereinfachende, irreführende und technisch falsche Aussage, da sie nicht den Kern des Problems anspricht.

In diesen Stunden hat NIST (Nationales Institut für Standards und Technologie), US-amerikanische Einrichtung, die sich um technologische Standardisierungen kümmert und nicht gerade der jüngste Neuzugang in der Branche ist veröffentlicht Der endgültige Entwurf des Dokuments „Digital Authentication Guideline – Authentication and Lifecycle Management“. Teil B des Dokuments (Cassandra entschuldigt sich für die Pedanterie) schlägt die letzten Nägel in den Sarg der Zwei-Faktor-Authentifizierung per SMS (2FA-SMS). A prägnante Zusammenfassung des Problems finden Sie auf Slashdot. Aber wir zitieren direkt die Empfehlung, die in dieser kommenden Gesetzgebung enthalten ist. NIST empfiehlt, dass Anwendungen physische und kryptografische Token verwenden. Fast „widerwillig“ sieht das Dokument vor, dass es sich derzeit auch um Handy-Apps handeln könne, also Geräte, die gestohlen oder „vorübergehend ausgeliehen“ werden könnten.

NIST hebt dann die Tatsache hervor, dass 2FA-SMS eine weitere Schwäche hat, die seine Zuverlässigkeit untergraben hat, nämlich die von VoIP-Diensten: „Wenn die Out-of-Band-Verifizierung über eine SMS-Nachricht über ein öffentliches Mobilfunknetz durchgeführt werden soll, ist der Träger des Prozesses.“ muss unbedingt prüfen, dass die verwendete vorregistrierte Telefonnummer tatsächlich einem Mobilfunknetz und nicht einem VoIP (oder einem anderen softwarebasierten Telefonsystem) zugeordnet ist.“ Außerdem heißt es: „Eine Änderung der vorab registrierten Telefonnummer sollte nicht ohne eine Änderung möglich sein echte Zwei-Faktor-Authentifizierung, zur Verwendung beim Ändern der Nummer. Das Ändern Ihrer Nummer per SMS ist veraltet und wird in zukünftigen Versionen dieses Handbuchs nicht mehr zulässig sein.“

Grundsätzlich identifiziert NIST neben den Problemen im Zusammenhang mit fortschrittlicher Malware, die ein Smartphone infizieren kann (und dies sicherlich auch tun wird) und die Zwei-Faktor-Authentifizierung per SMS unsicher macht, zwei weitere Angriffsvektoren: VoIP-Netzwerke und Probleme im Zusammenhang mit dem Austausch der Telefonnummer die die Verwendung von 2FA-SMS als sichere Authentifizierungsmethode verhindern: „Etwas, das Sie wissen, und etwas, das Sie haben“. Smartphones und GSM-Netze stehen nicht unter der Kontrolle des Benutzers, sondern von Dritten, ob legitim oder unrechtmäßig, und stellen daher nicht „etwas dar, das man besitzt“. Und dies ist eine weitere Bestätigung dafür, dass SPID2, das mit SMS und nicht mit Hardware-Tokens erstellt wurde, überhaupt nicht existieren sollte.

Aber in Italien wäre schon eine Katastrophe nötig, um den Komfort von 2FA-SMS, das den „Start“ von Renzis SPID-PIN erleichtern soll, in Frage zu stellen.

Dieser Artikel wurde geschrieben am 7. November 2016 von Cassandra

Blinkt Cassandra/SPID oder nicht SPID?

„Digital sein oder nicht sein“ ist die große Frage, die wir Italiener beantworten müssen. Es besteht die Gefahr eines Identitätsdiebstahls, aber bis SPID wirklich sicher ist, sollte man lieber warten.

Heutzutage werden die im Titel enthaltenen Hamlet-ähnlichen Zweifel, die besonders für Leser offensichtlich sind, die Cassandras frühere Äußerungen zu diesem Thema bereits kennen, rational gelöst werden, ohne auf Wahrsagerei zurückzugreifen, zweifeln Sie nicht.

Zusammenfassung früherer Episoden: nach Meinung von Cassandra Es kann nur der SPID der Stufe 2 mit OLTP-Token oder der SPID der Stufe 3 mit kryptografischem Token vertraut werden.

Da sie bis heute noch niemand zur Verfügung stellt, dürfen wir die SPID (zumindest vorerst) nicht nutzen oder anfordern, da sie aus IT-Sicht zu unsicher ist: Sie stellt ein hohes Risiko (eine große Angriffsfläche) für das eigene „Digitale“ dar Identität“ im Sinne von im erweiterten Sinne.

Kürzlich wurde ein Artikel über Fatto Quotidiano online veröffentlicht Video Sehr gut gemacht, das erklärt, wie man mit illegalen, aber einfachen, sogar banalen Mitteln die digitale Identität einer anderen Person erlangt. Es lohnt sich zu wiederholen: um die digitale Identität einer anderen Person zu erlangen. Das betreffende Video ist nicht nur erschreckend, sondern auch lustig, und Cassandra empfiehlt dringend, es anzusehen, bevor es weitergeht.

Videozusammenfassung: Der Journalist beschaffte sich die öffentlichen persönlichen Daten einer Person, fälschte grob und schnell zwei Ausweisdokumente und nutzte sie, um die SPID zu erhalten, wobei er den Betreiber des SPID-Anbieters täuschte, der sie mithilfe der Webcam des Laptops überprüft und authentifiziert Soweit wir sehen können (Cassandra spielt die Prophetin und manchmal auch die Ingenieurin, nicht die Anwältin), wurden während der Dreharbeiten zum Video mindestens drei alles andere als geringfügige Verbrechen begangen. Lassen wir diese „Pinzillacchere“, wie bereits erwähnt, beiseite und zitieren den großen Totò. Lassen Sie uns nun direkt die „Prozedur“ analysieren, die befolgt wurde.

Verstoßen wurde nicht gegen den IT-Mechanismus des SPID als solchen, sondern gegen eine der verschiedenen Methoden, diese von einem zertifizierten Lieferanten zu beziehen (derzeit sind es 4), Methoden, die teilweise dem Ermessen des einzelnen SPID-Anbieters überlassen bleiben.

Der Kern des Problems besteht darin, dass die Fälschung von Ausweisdokumenten, die auf herkömmliche Weise „verwendet“ werden sollen, zwar sehr schwierig ist, die Fälschung für die Verwendung vor einer Webcam jedoch lächerlich einfach ist. Es ist kein Zufall, dass die verschiedenen Ausstellungsmethoden zur Erleichterung der Verbreitung des SPID nicht nur den traditionellen Besuch eines bestimmten Büros oder die Verwendung einer digitalen Signatur (entspricht dem noch nicht existierenden SPID Level 3) umfassen, sondern auch Sehr einfache und „freundliche“ (aber sicherlich nicht sichere) Online-Modi wie die Webcam. Und es ist nicht einmal ein Zufall, dass herkömmliche und umständliche Vorgänge normalerweise kostenlos sind, während Online-Vorgänge, die einfach und bequem sind, eine Gebühr erfordern. Vergessen wir nicht, dass SPID-Lieferanten Unternehmen sind und dass sie wie jedes andere Unternehmen, nachdem sie zertifiziert wurden und nach genauen technischen Regeln arbeiten, Gewinne erwirtschaften müssen. Aber wiederholen Sie einfach bereits bekannte Konzepte, die Gefahr laufen, langweilig zu werden. Wenn Sie über die Möglichkeit nachgedacht haben, die SPID zu den anderen digitalen Identitäten hinzuzufügen, die Sie wahrscheinlich bereits haben (Gesundheitskarte, elektronischer Personalausweis, Karte für nationale Dienstleistungen, digitale Signatur) und dies nicht getan haben, weil Sie durch Cassandra negativ beeinflusst wurden, jetzt Sie sollten sich eine Frage stellen und die entsprechende Antwort finden: „Ich möchte die SPID nicht haben, aber da es möglich ist, dass andere an meiner Stelle sie betrügerisch erhalten könnten, ist es vielleicht besser, wenn ich zuerst danach frage.“ und dann vielleicht nicht benutzen, es ist sowieso auch kostenlos.“ Eine sehr sinnvolle Frage, zumal man mit der SPID jederzeit nach der Liste der getätigten Zugriffe fragen und herausfinden könnte, ob jemand sie an Ihrer Stelle nutzt.

Um eine Antwort zu finden und auch zu erkennen, wie komplex die zu bewältigenden Probleme sind, empfiehlt Cassandra, die FAQ-Seite auf der Website der Agentur für digitales Italien zu lesen. Konsultieren Sie es einfach und stöbern Sie vielleicht sogar ein wenig in den anderen SPID-Vorschriften, um selbst die Antwort zu finden. Die Antwort ist nein".

Tatsächlich gehört die SPID zu der Klasse digitaler Identitäten, die mehrfach sein können; Kurz gesagt, Sie (und andere auf betrügerische Weise) können mehr als eine erhalten. Sie können nicht zwei digitale Personalausweise erhalten, ebenso wenig wie Sie zwei Gesundheitskarten beantragen können, sondern müssen den Verlust, Diebstahl oder die Zerstörung des ersten melden und sich einen zweiten ausstellen lassen. Es ist jedoch möglich, sinnvoll und in manchen Fällen notwendig, mehr als eine digitale Signatur zu haben, wie es bei handschriftlichen Unterschriften schon immer der Fall war, zum Beispiel der Administrator eines Unternehmens, der bei Firmendokumenten auf eine Art und auf eine andere Art und Weise unterzeichnet Und da die Tatsache, dass Sie die SPID angefordert haben, andere nicht davon abhält, eine zweite anzufordern, können Sie mit einfallsreichen Methoden wie der oben dargestellten weiterhin getrost (nicht so sehr) darauf verzichten. Sie können also fortfahren geduldig auf eine SPID Level 2 mit OLTP oder Level 3-Token warten, die sicher sind und mit ebenso zuverlässigen Methoden ausgegeben werden, zumindest bis die SPID obligatorisch wird.

Obligatorisch?!? Cassandra will heute keine weiteren Unglücksprophezeiungen wagen, sondern lediglich darauf hinweisen, dass es zumindest laut Medien bereits jetzt in bestimmten Fällen so sei, etwa um die „18-Jahres-Bonus” von 500 Euro, die nur nach vorheriger Einholung der SPID beantragt werden kann.

Kurz gesagt, der Hamlet-artige Zweifel, ob „digital sein oder nicht sein“ soll, lässt sich in diesem Fall leicht beantworten.

Dieser Artikel wurde geschrieben am 27. Februar 2017 von Cassandra

Cassandra Crossing/ Lasst uns SPID3 verteidigen

Ein sicheres öffentliches digitales Identitätssystem kann nicht ohne benutzergesteuerte Hardware-Token auskommen. Aber um es faulen Leuten und Identitätsanbietern zu erleichtern, sich an unsichere Passwörter zu klammern, können wir versuchen, es zu verzerren.

Wie sich die 24 Leser erinnern werden, nachdem sie in dieser Kolumne bereits 5 Äußerungen diesbezüglich erfahren haben, hätten laut Cassandra nur die SPID2 mit Hardware-Token und die SPID 3 mit kryptografischem Token eine Existenzberechtigung. Warum? Weil die Informationsgesellschaft eine Kultur und Praxis der Sicherheit erfordert; und eine nationale Infrastruktur, die mit der Cybersicherheit aller verbunden ist, kann nicht weniger als eine Zwei-Faktor-Sicherheit haben (etwas, das Sie wissen, und etwas, das Sie haben). Die Regelung des SPID sieht, ähnlich wie die inzwischen bewährte Regelung der digitalen Signatur, vor, dass die Betreiber, die sie umsetzen und den Dienst bereitstellen, Unternehmen sind, die von der AGID qualifiziert sind und im Rahmen eines freien Markt- und Wettbewerbssystems tätig sind Ein Gleichgewicht zwischen öffentlichen Interessen und privaten Interessen ist eine großartige Sache, wenn es funktioniert, aber um es herzustellen und aufrechtzuerhalten, bedarf es kontinuierlicher Aufmerksamkeit und liebevoller Fürsorge.

Tatsächlich könnte man im Andreotti-Stil denken, dass das derzeitige Fehlen eines SPID2-Angebots mit physischem OTP-Token und von SPID3 darauf zurückzuführen ist, dass die kostenlose Erstellung dieser Angebote auf geschäftlicher Ebene nicht nachhaltig ist. Das ist wahrscheinlich wahr. Das Ergebnis ist jedoch, dass die maximale Sicherheit, die heute als SPID erreicht werden kann, die SPID2 mit Software-Token ist.

Cassandra, die NIST und viele andere (nicht in der Reihenfolge ihrer Autorität) haben bereits gezeigt, dass diese Lösung nicht ausreichend sicher ist. Ein Smartphone mit einer App ist ein zu komplexes Objekt, um sicher zu sein. Aber werden Hardware-Token-Enthusiasten zufrieden sein, wenn SPID3 erscheint? Es ist nicht sicher und es wird etwas schwer sein, zu erklären, warum. Die 24 Leser sind gewarnt…

AgID erstellt im Jahr 2015 a Arbeitsgruppe um zu definieren ein UNINFO-Standard für die Sicherheitsanforderungen, die ein SPID-Identitätsanbieter erfüllen muss, um akkreditiert zu werden.

Derzeit liegt die Eignung des Identitätsanbieters tatsächlich im Ermessen der AgID-Bewertungen und -Prüfungen. Dieses Dokument definiert den Standard, der während des besprochen wurdeXIX-Ausgabe von E-Privacy, wird derzeit im technischen Gremium UNI/CT 510/GL 02 abgestimmt und ist berechtigt „E14.J1.G62.0 Informationssicherheit Verifizierung der Sicherheitsstufen der IT-Authentifizierung Bewertung der Einhaltung der Sicherheitsstufen 2, 3 und 4 des UNI CEI ISO/IEC 29115-Standards“.

SPID3 entspricht der Sicherheitsstufe 4 (LOA4) der ISO 29115, Das erfordert (wir wiederholen „erfordert“) die Verwendung von Geräten Physiker (wir wiederholen „physisch“) unter der Kontrolle des Benutzers.

Um SPID3 zu erstellen, erlaubt der derzeit evaluierte Standard nicht die Verwendung von zwei Lösungen, die für den Identitätsanbieter besonders einfach und wirtschaftlich (hat jemand „attraktiv“ gesagt?) Zu implementieren wären: – die Verwendung von Apps, die „vollständig Software“ sind auf dem Smartphone des Nutzers installiert werden. Erinnert Sie das an etwas? Die Verwendung von Remote-Signaturgeräten als SPID-Authentifizierungstools. Und hier könnte der Esel fallen! Die digitale Fernsignatur ist ein weiteres Beispiel für die Dematerialisierung des Tokens, der nur für ganz bestimmte Bedürfnisse wie die IT-Systeme öffentlicher Verwaltungen konzipiert wurde, aber heute erfolgreich an faule Privatpersonen verkauft wird, die sehr glücklich sind darauf, die Smartcard nicht mit sich führen zu müssen und mit einem Passwort auszukommen. Die Hälfte der in Italien aktiven digitalen Signaturen ist leider von dieser Art geworden, da es sich sowohl für Privatpersonen als auch für Unternehmen um ein „bequemes“ Produkt handelt. Schade, dass sie weniger sicher sind; Und es lebe die Kultur und Praxis der Sicherheit! Kehren wir zu SPID3 zurück. In der Praxis würden bei dieser Lösung die SPID3-Anforderungen für das Remote-Gerät gelten, das sich beim Identitätsanbieter befindet, und der Zugriff des Benutzers auf das Authentifizierungsgerät könnte auch (aber wissen Sie was!) mit einem einfachen Passwort erfolgen. Und es wäre sowieso nicht „etwas, das man hat“. Oh Mama!

Daher drängen einige Parteien zu Recht darauf, diesen Teil des Gesetzes unwirksam zu machen Standard oder es zu ändern. Gehöre ich zu denen, die für den neuen Standard stimmen? Stellen Sie sich die Frage, geben Sie sich die Antwort.

Wir hoffen, dass es in diesem Fall möglich sein wird, herauszufinden, wer sie sind, auch wenn der Abstimmungsprozess (der in diesen Tagen endet) nicht öffentlich ist. Die Tatsache, dass über das Thema abgestimmt wird, würde die Änderungsversuche nachvollziehbar machen, sie aber nicht verhindern lassen. Andererseits sieht das Verfahren die Möglichkeit vor, dass AGID es letztendlich nicht berücksichtigen wird. Daher keine Prophezeiungen Heute. Hoffen wir einfach das Beste!

Dieser Artikel wurde geschrieben am 22. Dezember 2020 von Cassandra

Cassandra Crossing/Spid Creepshow, die Federung

Wenn wir mit Spid leben müssen, ist es besser, seine dunkelsten Geschichten zu kennen.

Cassandras eingefleischte 24-Leser wissen gut, dass unsere Prophetin, nachdem sie jahrelang eine sehr kritische Haltung zu Spid eingenommen hatte, widerwillig damit begonnen hat, Spid zu empfehlen, da es in Beziehungen mit öffentlichen Verwaltungen fast obligatorischer Natur ist.

Aber Empfehle Spid (Verrohrte Links) trägt auch die Verantwortung, die Probleme melden zu müssen, die seine Verwendung häufig verursacht; Hier ist also eine neue Artikelserie über die Schattenseiten und Überraschungen, die der Besitz eines Spid mit sich bringen kann. Der erste Artikel der Serie ist eine sehr aktuelle Geschichte aus dem wirklichen Leben. Aber gehen wir der Reihe nach vor.

Spid ist ein zentralisiertes Authentifizierungssystem; Aus diesem Grund wird seine Verfügbarkeit zu einer doppelt kritischen Ressource. Dies ist für das Land von entscheidender Bedeutung, da sich ein Spid-Debakel gleichzeitig auf alle öffentlichen Verwaltungsdienste auswirkt. Dies wurde durch den kürzlichen Zusammenbruch eines Teils der nationalen Spid-Infrastruktur während des Cashback-„Click-Days“ sowie des vorheriger Zusammenbruch (Verrohrte Links) aufgrund des Mobilitätsbonus.

Es ist von entscheidender Bedeutung für diejenigen, die es besitzen; Wenn Spid unverzichtbar wird, wird es nicht nur für die Nation, sondern auch für den einzelnen Benutzer von entscheidender Bedeutung. Ja, denn die verschiedenen PINs und Passwörter für den Zugriff auf Websites, insbesondere von öffentlichen Verwaltungen, werden nicht mehr verwendet und sind daher „verfallen“ oder gehen einfach verloren und vergessen. Und die SPID wird, wie es sein muss, zum einzigen Schlüssel für den Zugang zum Bereich der öffentlichen Dienste.

Und plötzlich... plötzlich versucht Cassandra an einem ruhigen Sonntag, sich mit ihrem Spid2 bei der INPS-Website zu authentifizieren, und erhält einen kryptischen Fehler. Da er denkt, dass das Passwort möglicherweise abgelaufen ist (aber sollte nicht zuerst eine Warn-E-Mail eintreffen?), oder dass auf jeden Fall etwas Seltsames passiert ist, entnimmt er mutig die Smartcard mit digitaler Signatur und wiederholt den Vorgang mit seinem Spid3, für den kein Passwort erforderlich ist . Ups… noch kryptischerer Fehler von der INPS-Website, die eine nicht vorhandene Zeitüberschreitung meldet; Authentifizierung erneut verweigert.

Oh ja, ruft Cassandra, wir sehen eine andere Seite; Wenn Sie die Vorgänge auf der Website der Revenue Agency wiederholen (stabiler und „quadratischer“ als die des INPS), erhalten Sie zunächst mit Spid3 und dann mit Spid2 zwei weitere Fehlermeldungen über eine fehlgeschlagene Authentifizierung. Hat irgendein Russe Cassandras Referenzen kompromittiert?

Nun, es ist schwierig, Spid3 zu unterwandern, aber wir gehen zum Anmeldeinformationsverwaltungsfenster und ... überraschenderweise werden die Spid-Anmeldeinformationen akzeptiert, aber wir werden zur Maske für erzwungene Passwortänderungen weitergeleitet, da das Passwort anscheinend abgelaufen ist. Das Passwort darf nicht abgelaufen sein, da es 6 Monate gültig ist und der Ablauf 30 Tage vorher per E-Mail angekündigt wird, eine Passwortänderung aber niemandem verweigert wird, also ändern wir es, klicken auf Senden und... „Vorgang für Passwort im gesperrten Zustand nicht zulässig“.

In der Meldung steht tatsächlich „suspendiert“ und nicht abgelaufen. Passwörter „verfallen“, nur Zugangsdaten werden „gesperrt“. Was wäre, wenn Cassandras Spid suspendiert würde? Warum es die Möglichkeit gibt, Spid zu „suspendieren“ und wozu dies dient, wird vielleicht Thema eines anderen Artikels sein.

Also wurde Spid suspendiert, aber von wem und warum? Könnte es jemandem gelungen sein, meine Spid3-Anmeldeinformationen zu deaktivieren und dann das Spid-Verwaltungsfeld aufzurufen, indem er das Passwort erraten oder gestohlen hat? Aber er sollte trotzdem den Spid2 verwenden ... Die schlimmsten Gedanken schießen Cassandra durch den Kopf.

Nach einer Reihe leerer Streifzüge auf der Website des Managers von Cassandra's Spid (stellen wir uns vor, es handele sich um die Website Aruba.it) gelangt Cassandra schließlich auf Seiten mit Informationen, die ebenso allgemein gehalten wie nutzlos sind, und schließlich auf eine Seite mit Erklärungen scheinbar generisch, aber in der letzten Realität, die im Detail ankündigt:

Digitale Identität ausgesetzt: Verfahren zur Reaktivierung
Aufgrund der Überwachungsaktivitäten als Digital Identity Manager (Art. 11 des Ministerialerlasses vom 24. Oktober 2014) haben wir die für Sie registrierte digitale Identität vorübergehend gesperrt.
Die vorsorgliche Sperrung erwies sich als notwendig, da die mit seiner Identität verbundene Telefonnummer oder E-Mail-Adresse mit anderen digitalen Identitäten geteilt wird.
Wir weisen Sie darauf hin, dass E-Mail-Adresse und Mobilfunknummer einen vertraulichen Kontaktkanal und wichtige Authentifizierungsfaktoren darstellen, die auf eine einzelne Person zurückführbar sein müssen.
Um Ihre digitale Identität zu reaktivieren und sie weiterhin wie gewohnt zu verwenden, müssen Sie innerhalb von 30 Tagen nach dem Versuch, Ihre Spid-Anmeldeinformationen nach der Sperrung zu verwenden, die unten beschriebenen Vorgänge durchführen.
Wir informieren Sie darüber, dass Ihre digitale Identität nach Ablauf von 30 Tagen, ohne dass die oben genannten Änderungen vorgenommen wurden, widerrufen wird.

Sehr wahr: Cassandras Handy und E-Mail erscheinen, überprüft und zertifiziert, seit ihrer Ausstellung in mehreren Ausweisen, nie geändert, völlig normal. Dafür die Identität sperren, ohne überhaupt zu bemerken, dass Telefonnummer und E-Mail-Adresse seit der Ausstellung mit den Zugangsdaten verknüpft sind?

Wenn die Sache verdächtig erscheint, kann es sinnvoll sein, den Ausweis zu sperren, indem man sich sofort an die betroffene Partei wendet. Sogar Kreditkartenmanager machen das, aber den Ausweis zu sperren, ohne ihn mitzuteilen, und ihn darüber hinaus nach 30 Tagen dauerhaft zu widerrufen, ist... was auch immer Er würde Fantozzi sagen, sagen wir einfach, es ist absurd! Eine Beleidigung und ein schwerwiegender potenzieller Schaden für den Kunden.

Und wie kommt man nun da raus? Das Passwort kann nicht geändert werden, da die Spid-Zugangsdaten gesperrt sind. Ohne das Passwort können Telefonnummer und E-Mail-Adresse nicht bestätigt werden. Wenn Sie diese nicht bestätigen, kann die Identität nicht reaktiviert werden. Es gibt keine Lösung, es ist ein Albtraum.

Es bleiben jedoch zwei extreme, aber praktikable Möglichkeiten. Das erste mag seltsam erscheinen, aber es ist vernünftig, kostenlos und ziemlich schnell; Holen Sie sich einen anderen Spid und umgehen Sie das Problem. Wussten Sie nicht, dass Sie mehr als einen Spid haben können? Der zweite ist lang und ein Vorbote unerwarteter Ereignisse; Öffnen Sie ein Support-Ticket, ohne den Benutzerbereich betreten zu können, sondern das „generische“ Portal nutzen zu müssen. Eine gefährliche Reise, die das Problem jedoch schnell lösen könnte. Nun, angesichts der Situation ist es besser, beide Dinge gleichzeitig zu tun: Mal sehen, wer zuerst fertig wird.

Nachdem ich eine halbe Stunde durch ein Kundenbetreuungsportal gestöbert habe, bei dem es in zwei von drei Fällen zu Seitenabbrüchen kam, gelingt es mir endlich, ein Ticket zu posten und sofort einen weiteren Spid anzufordern, dieses Mal nicht von Aruba, sondern von Poste Italian. Mithilfe meiner digitalen Signatur als Erkennungsmethode und dieses Mal mit etwas Glück schaffe ich es, den Spid anzufordern und mich durch die digitale Signatur auf dem Vertrag zu identifizieren, den ich im PDF-Format herunterlade und als signiertes PDF hochlade. Ich schaue bei der Post nach, ob der neue Spid freigegeben wurde und finde überrascht eine Nachricht von Aruba, dass das Problem gelöst wurde. Ah... aber was soll ich tun?

Ich versuche, zum Kundensupport-Portal zurückzukehren, und nach einer Viertelstunde des Versuchs finde ich die Antwort des Beraters, der sagt, er habe mir ein temporäres Passwort geschickt. Ich gehe zurück zur E-Mail. Kein Passwort. Allerdings treffen immer mehr E-Mails von Poste Italiane ein, die die verschiedenen Phasen des Veröffentlichungsprozesses des neuen Spid markieren. Mit der Online-Anerkennung ist alles viel einfacher und funktioniert auch sonntags.

Ich kehre zum Aruba-Kundenbetreuungsportal zurück und schaffe es mit einer weiteren Viertelstunde Mühe, ein zweites Ticket für einen Passwortfehler zu eröffnen. Wenn ich schon dabei bin, werde ich den Abschluss des ersten Tickets nicht bestätigen und den fehlenden Erhalt des Passworts auch als Kommentar zum ersten Ticket melden. Ich gehe zurück zu meinem Posteingang und finde die E-Mail, die die Erstellung des Poste Italiane Spid bestätigt und Anweisungen zum Vorgehen bei der ersten Authentifizierung enthält. Nach einer Weile trifft auch das vorläufige Aruba-Passwort ein, kurz darauf folgt die zweite Ankündigung der Lösung des Problems.

Lass es uns versuchen. Es gelingt mir, das Passwort zu ändern und das Spid-Verwaltungsfenster aufzurufen, wo ich feststelle, dass die Sperrung des Spid inzwischen (aber warum?) bereits aufgehoben wurde. War irgendjemand mit der schrecklichen Schleife einverstanden, die er geschaffen hatte und die seine Kunden verschlang? Ich überprüfe die Aruba Spid-Anmeldeinformationen, die jetzt beide funktionieren, und fahre dann mit der Erstellung und dem Testen des neuen Poste Italiane Spid fort. Es sollte sehr schnell gehen, aber stattdessen dauert es eine ganze Weile; Die Abläufe sind unterschiedlich und man muss sich damit vertraut machen, aber nach einer weiteren Stunde bin ich am Ende angelangt; Wir werden in einer weiteren Folge unserer Kolumne noch einmal darüber sprechen. Dieser Streich kostete einen halben Tag Ärger und Arbeit.

Was können wir sagen, außer Aruba mit diesem Artikel die Situation zu melden, damit Aruba sicherlich erkennen kann, welcher ihrer Kunden sich unter Cassandras Identität verbirgt? Dass Spid immer noch unüberschaubar für Benutzer ist, die keine langjährigen Surfer sind, sich mit der täglichen Nutzung des Internets und dem Besuch von Helpdesks auskennen und sich damit auskennen? Dass Spid kein Ort für alte Rentner ist? Zu offensichtlich.

Stattdessen betonen wir, dass Cassandra, wie jeder andere Spid-Benutzer, die Möglichkeit unvorhergesehener Ereignisse hätte vorhersehen müssen; Schließlich waren Qualität und Zuverlässigkeit der IT-Dienstleistungen in Italien noch nie besonders gut. Daher ist es notwendig, einen zweiten Spid bei einem anderen Lieferanten zu haben. Warum? Um nicht von einem einzigen Berechtigungsnachweis abhängig zu sein, der plötzlich ein „Opfer“ von Benutzerfehlern (das ist nicht der Fall) oder Lieferantenproblemen (das ist genau der Fall) sein kann.

Das Gleiche gilt für eine weitere IT-Ressource, die unverzichtbar und entscheidend werden kann: die digitale Signatur. Was passiert, wenn Ihr Signaturgerät kaputt geht oder Sie feststellen, dass Sie es verloren haben, während Sie eine dringende Signatur hinzufügen möchten? Möglicherweise eine Tragödie. Möglicherweise verpassen Sie versehentlich eine Frist für die Einreichung einer Bewertung oder die Beantwortung einer Ausschreibung. Durch eine zweite digitale Signatur, genau wie ein zweiter Spid, ist es möglich, die „Ersatz“-Signatur zu verwenden und dann in aller Ruhe die fehlgeschlagene Signatur wiederherzustellen.

Also mach es! Besorgen Sie sich (Horror!) nicht nur einen Spid, sondern zwei. Und erhalten Sie außerdem zwei digitale Signaturgeräte, nicht eines. Darüber hinaus ist Spid2 noch bis Ende 2020 kostenlos, bei bestimmten Anbietern auch Spid3. Nicht ein Spid, sondern zwei sind also die Lösung in diesem Land, in dem die IT oft aus schlecht implementierten Diensten und Fallen mit guten Absichten besteht.

Dann sagen Sie nicht, dass Cassandra Sie nicht gewarnt hat.

Marco Calamari

Treten Sie Communities bei