[AcLab] R: Ancora Open ID

Angelo Rosina angros47 a yahoo.it
Gio 10 Set 2009 10:13:50 BST 

--- Gio 10/9/09, Nuccio Cantelmi <n.cantelmi a bluehat.it> ha scritto:


Da: Nuccio Cantelmi <n.cantelmi a bluehat.it>
Oggetto: [AcLab] Ancora Open ID
A: "ACLab" <aclab a lists.aktivix.org>
Data: Giovedì 10 settembre 2009, 10:17


Leggo da Punto Informatico (http://punto-informatico.it/2705157/PI/News/digitalizzazione-pa-passa-open-id.aspx) che la PA statunitense vorrebbe affidarsi ad Open ID.
Conoscete già le mie perplessità su Open ID (http://openid.net/) quale strumento di facilitazione del tracking e del controllo.
 
Condivido i tuoi dubbi, ma del resto mi aspettavo una cosa del genere: esistono migliaia di siti che pretendono la registrazione, e molti utenti si trovano decine di log-in e password da tenere a mente; il risultato è che spesso si usava lo stesso login e la stessa password per tutto, dalla posta elettronica, a facebook, a ebay, al sito di condivisione di files, ai forum.
Il risultato è che se uno di questi servizi è gestito da persone disoneste, che spiano le password dei loro utenti, usare la stessa password permetterebbe loro di rubare l' accesso a tutto: con OpenId la password viene inserita non nel sito sconosciuto, ma in un sito di cui ci si dovrebbe fidare, che si occupa di "garantire" l' identità al sito, usando informazioni di login specifiche (non è il massimo, ed espone a tentativi di phishing, ma è sicuramente meglio che dare la stessa password a 50 siti diversi). Ovviamente la soluzione ideale sarebbe di usare una password diversa per ogni servizio, e non scriverla da nessuna parte, ma quanti lo farebbero?

D'altro canto, posso ammettere che la Pubblica Amministrazione voglia affidarsi ad un sistema chiaro, univoco e non equivoco per identificare il cittadino utente dei servizi di e-government. Ma bisogna per forza affidarsi ad un sistema privato ed in mano agli stessi colossi che invadono la rete con la loro pervasività???
 
Lo stato è sempre indietro con i tempi, in queste cose (spesso sono riconosciuti legalmente come supporti di backup solo supporti obsoleti, ad esempio). Non è strano che abbia deciso di appoggiarsi a qualcosa che esiste già, piuttosto che tentare di realizzare qualcosa di nuovo senza sapere come fare (del resto, ricordate quando avevano tentato di realizzare Quaero? un mucchio di rumore e di spese, e l' unico risultato è il quasi sconosciuto exalead), e che sarebbe obsoleta prima ancora di essere completa.

E la firma digitale, che fine ha fatto? Meglio Open ID di una smart card?
 
Una smart card sarebbe una buona soluzione, ma quanti computer hanno lo slot per inserirla?
Il famigerato chip Fritz (che era poi un coprocessore crittografico) sarebbe potuto servire allo scopo, ma avrebbe limitato l' accesso ad un solo computer (e se si guastava, si rimaneva tagliati fuori), e presentava più problemi che vantaggi, in fatto di sicurezza (oltre alla pessima fama, dovuta al suo probabile impiego nel TCPA)
 
Forse la soluzione migliore sarebbe un coprocessore crittografico USB: i dati vengono inviati al chip (che li cripta e li decripta, senza trasmettere mai al computer la chiave privata, ma solo la chiave pubblica). L' utente, quando non ne ha bisogno, toglie il dispositivo (così nessuno potrà usarlo per DRM o altri usi indesiderati), e può spostarlo su qualsiasi computer (senza il pericolo, se uso un computer che non conosco, che un keylogger mi rubi la password)

Ed anche nel caso di smart card, come evitare di cadere nel tranello del divieto di navigazione anonima suggerito da molti (in Italia abbiamo la proposta dell'On.le Carlucci che da varietà e ballerina è stata promossa ad esperta di politiche della rete....)?
 
 
Una ID univoca, che permetta di risalire con certezza ad una persona, può anche avere la sua utilità, soprattutto nel commercio elettronico (così se io mando i soldi, la merce non mi arriva e il venditore non risponde più è possibile rintracciarlo per chiedere il rimborso).
Naturalmente, esistono situazioni perfettamente legali in cui si preferisce restare anonimi (ad esempio la discussione di problemi di salute), e nessuno vorrebbe usare una OpenId in tale sede.
Per adesso il problema non si pone, ma si porrà nel caso in cui la openID venisse fornita dal provider al momento della connessione (basandosi sui dati dell' abbonamento), perchè in tal caso non sarebbe più possibile disattivarla.



Gnuccio

-- Nuccio Cantelmi AKA GNUccio
www.nucciocantelmi.it
Anti Cloud Computing Laboratory - http://aclab.indivia.net/
Feudalesimo Digitale - www.feudalesimodigitale.net
Hacklab Catanzaro – www.hlcz.it



_______________________________________________
AcLab
http://aclab.indivia.net
AcLab mailing list
AcLab a lists.aktivix.org
https://lists.aktivix.org/mailman/listinfo/aclab



      
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <https://lists.aktivix.org/pipermail/aclab/attachments/20090910/5b209ae7/attachment.htm>

Maggiori informazioni sulla lista AcLab