Dopo l’acquisto del dominio pierov.org, OVH mi ha mandato la fattura elettronica, nonostante io faccia acquisti come un privato per fini personali.

Casualmente, avevo fatto ieri il procedimento con mio padre, che invece è un libero professionista, quindi sapevo già più o meno come funziona il portale fatture e corrispettivi; inoltre, sono in possesso di due possibili modalità di autenticazione: sia la CNS (carta nazionale dei servizi), che dello SPID.

In particolare, visto che non avevo voglia di abilitare la prima, creare una password, che magari sarebbe stata vincolata all’uso della smart card, ho deciso di usare il secondo.

In realtà mi ero registrato a SPID senza un motivo ben preciso, un po’ perché era gratis, un po’ perché volevo usare la CNS con un lettore che avevo da un po’ e non avevo mai usato. Quando mi sono registrato i provider erano solo tre, e di questi solo InfoCert permetteva la registrazione tramite CNS, quindi ho scelto di registrarmi con loro. Dopo è passato più di un anno, mi hanno fatto il rinnovo sempre gratuito, ma in realtà non avevo mai usato queste credenziali.

La registrazione, da quanto mi ricordo, era andata abbastanza bene, mi avevano anche chiesto un codice PIN da usare per la generazione delle OTP e fin là tutto a posto. L’unico problema è che non mi ero segnato la password che avevo usato e oggi, a distanza di più di un anno, non me la ricordavo più.

Quindi ho deciso di seguire la procedura di recupero password, e qui sono cominciati i dolori.

Per prima cosa il link per recuperare la password rimanda a un altro login, che però non funziona con Adblock abilitato. Questa cosa mi sembra strana, ma posso anche accettarla.

La procedura poi era protetta da reCAPTCHA. Anche questo lo posso capire, però è una cosa che mi infastidisce, perché a volte non finisce più, e le richieste talvolta sono arbitrarie o le immagini sono prese da posizioni così strane che danno problemi anche a me, non solo all’IA. La cosa mi ha infastidito perché ho dovuto farla 3 volte: la prima perché ho messo la mail al posto dello username, la seconda per un errore loro (un generico errore in rosso, senza alcuna spiegazione, non so se fosse una specie di misura di sicurezza, che mi hanno fatto fallire il tentativo apposta siccome il primo non era andato a buon fine) e la terza che poi è andata.

Ma quando è andata, sono rabbrividito: il controllo per farmi resettare la password è stato affidato a una domanda di sicurezza insieme ad un password OTP inviatami per SMS. Nessun ulteriore fattore, nessuna mail, nemmeno a operazione completata.

Questa cosa mi ha fatto sentire insicuro. La risposta a quella domanda, che probabilmente era quella che ritenevo più sicura, la sanno un sacco di persone.

In genere scelgo risposte non vere alle domande di sicurezza, siccome le considero una pratica barbara, ma in questo caso ne avevo scelta una vera, e in ogni caso moltissime persone scelgono le risposte vere.

Tuttavia questa non è la cosa peggiore: subito dopo aver resettato la password, ho potuto autenticare la app di InfoCert sul mio telefono, con la password nuova e una OTP inviata per SMS al numero attivo sullo stesso telefono che stavo autenticando. E subito dopo ho potuto fare il login all’agenzia dell’entrate.

E tutto senza nessuna email. Nessuna email quando ho iniziato la procedura di recupero della password, nessuna email quando la procedura di recupero password ha avuto esito positivo, nessuna email quando ho aggiunto il dispositivo e nessuna email quando ho infine fatto un login con successo. Solo due SMS: uno per il recupero della password e uno per autorizzare la app.

La cosa mi ha fatto sentire estremamente insicuro.

Mi rifiuto di considerare le domande di sicurezza come fattore di autenticazione, quindi ho potuto effettuare il tutto tramite un unico fattore di autenticazione, il mio telefono. Questa cosa è semplicemente malefica.

Fosse stato per me, oltre a tutte quelle email, avrei previsto addirittura un controllo che, in caso lo username specificato nel modulo di ripristino password coincida con una email, invierei una email all’utente interessato, oltre che far fallire la procedura. Inoltre imporrei un certo tempo da aspettare prima di accettare le nuove credenziali, che eventualmente potrebbe essere rimosso con un qualche altro fattore di autenticazione (e.g. CNS o firma digitale, visto che hanno già l’infrastruttura).

Di per sé, io sono estremamente favorevole allo SPID, anzi, penso che avrebbero dovuto crearlo prima. Tuttavia gli identity provider sono una parte del sistema veramente delicata.

I miei genitori hanno entrambi lo SPID tramite le Poste (erano la cosa più comoda per l’identificazione) e mi viene da dire che offrano un servizio migliore, a cominciare dalla possibilità di rendere la procedura più veloce con un codice QR, che ha una validità limitata a 2 minuti, al fatto che ogni operazione sia segnalata tramite email. Per loro è un po’ una noia tutto ciò, invece ai miei occhi è veramente una maggiore attenzione alla sicurezza.

Per mia fortuna non ho veramente bisogno dello SPID, ma se per me fosse veramente importante, dopo quanto accaduto oggi, procederei con la disdetta delle credenziali InfoCert e cercherei un altro ente.