Spid....

  • Ecco la 60° Edizione del settimanale "Le opportunità di Borsa" dedicato ai consulenti finanziari ed esperti di borsa.

    Questa settimana abbiamo assistito a nuovi record assoluti in Europa e a Wall Street. Il tutto, dopo una ottava che ha visto il susseguirsi di riunioni di banche centrali. Lunedì la Bank of Japan (BoJ) ha alzato i tassi per la prima volta dal 2007, mettendo fine all’era del costo del denaro negativo e al controllo della curva dei rendimenti. Mercoledì la Federal Reserve (Fed) ha confermato i tassi nel range 5,25%-5,50%, mentre i “dots”, le proiezioni dei funzionari sul costo del denaro, indicano sempre tre tagli nel corso del 2024. Il Fomc ha anche discusso in merito ad un possibile rallentamento del ritmo di riduzione del portafoglio titoli. Ieri la Bank of England (BoE) ha lasciato i tassi di interesse invariati al 5,25%. Per continuare a leggere visita il link

macchia nera

N’Uovo utente
Registrato
25/4/08
Messaggi
2.050
Punti reazioni
223
salve a tutti, qualcuno ha attivato questo servizio? con quale gestore? francamente non ci ho capito molto, sembra che attivarlo entro l'anno permetta un utilizzo gratuito, poi ovvio si vedrà...:rolleyes:
grazie se condividerete la vostra esperienza
 
Io l'ho richiesto settimana scorsa tramite InfoCert con il riconoscimento di persona che fino a fine anno è gratuito.
Però sto ancora aspettando la conferma dell'appuntamento per completare l'iter.
Non mi è chiaro però se poi il servizio diventa a pagamento, nel qual caso provvederò a disdire.
 
Io ce l'ho, l'ho fatto con le poste, riesco ad entrare in molte parti (inps AE etc) con un unoco id molto utile.

Non mi risulta essere un servizio che diverrà a pagamento, al massimo saranno i modi di riconoscimento a diventare a pagamento. Anzi se non ho capito male entro il 2017 dovremmo avere tutti lo SPid....
 
salve a tutti, qualcuno ha attivato questo servizio? con quale gestore? francamente non ci ho capito molto, sembra che attivarlo entro l'anno permetta un utilizzo gratuito, poi ovvio si vedrà...:rolleyes:
grazie se condividerete la vostra esperienza

Attivato mesi fa. Con Poste, sul contratto ho letto e' gratis per 2 anni, poi mi pare non ci sia rinnovo automatico.
Lo usi su inps, agE ecc.
Ti manda un pin via sms per entrare.
Ci sono 3 livelli di sicurezza.
Funziona, ma se non lo usano tutti va a finire inutile come la carta id. Elettronica.
 
ma non c'era già la firma digitale o sono due cose diverse?
 
[...] e' gratis per 2 anni [...]

Confermo :yes:, la gratuità dello spid è prevista per 2 anni e, per chi richiede entro il 31/12/2016, le procedure di riconoscimento sono gratuite.

Dopo i due anni.....non si sa :rolleyes: anche se ci sono rassicurazioni sul fatto che dovrebbe restare gratuito per i privati.
 
io lo avevo fatto fatto sia con le Poste che con Infocert per confrontarli. Con SPID Infocert per avere l'accesso di secondo livello devi scaricare la app Infocert Id per generare le OTP. Con SPID Poste per avere l'accesso di secondo livello si può scegliere: app oppure SMS/Email. L'accesso di terzo livello credo che di fatto per ora sia inutilizzato. Personalmente preferisco lo SPID delle Poste per non complicarmi ulteriormente la vita con le apps. Entrambi sono piuttosto lenti nei rimpalli fra sistemi. Comunque la modalità di accesso che trovo più comoda, veloce e sicura è quella via Tessera Sanitaria (disponibile solo in alcune Regioni) anche se richiede lettore di smartcard e inizialmente è la più complicata da abilitare. Non ha niente a che fare con la firma Digitale.
 
Grazie a tutti, avevo il sospetto che anche questa innovazione :rolleyes: non fosse così lineare..... Sul sito delle poste però si parla di un ID poste...mentre su Aruba ho visto che propongono il servizio ma bisogna richiedere info, qualcuno ne sa di più?
 
al momento se, per esempio, tenti l'accesso al sito INPS, potrai usare
le credenziali SPID rilasciate da Poste, Infocert, TIM e Sielte. Aruba
ancora non compare. Magari sarà inclusa in futuro...
 
Ma se in futuro lo adottassero anche le banche, potrebbero aumentare la sicurezza in aggiunta ai token?
 
Ma se in futuro lo adottassero anche le banche, potrebbero aumentare la sicurezza in aggiunta ai token?

Lo spid1 non costituirebbe certo un incremento della sicurezza, mentre lo spid2 ricalca il modello di autenticazione a 2 fattori tramite SMS adottato già da molte banche (anche se, IMHO, viste le vulnerabilità associate alle SIM io preferisco sempre un token o una carta codici).

Un incremento della sicurezza potrebbe essere legato solo allo spid3 che, tuttavia, mi sembra ancora in alto mare :rolleyes:
 
Ma se in futuro lo adottassero anche le banche, potrebbero aumentare la sicurezza in aggiunta ai token?
L'adozione dello spid da parte delle banche non aumenterebbe la loro sicurezza, utilizzano già metodi equivalenti.
Lo spid1 non costituirebbe certo un incremento della sicurezza, mentre lo spid2 ricalca il modello di autenticazione a 2 fattori tramite SMS adottato già da molte banche (anche se, IMHO, viste le vulnerabilità associate alle SIM io preferisco sempre un token o una carta codici).

Un incremento della sicurezza potrebbe essere legato solo allo spid3 che, tuttavia, mi sembra ancora in alto mare :rolleyes:
Lo spid 3 è uno spid 2 in cui l'otp è generata da un dispositivo hardware dedicato, ricalca l'autenticazione a 2 fattori usata dalle banche che usano un token hardware.
 
Con SPID Poste per avere l'accesso di secondo livello si può scegliere: app oppure SMS/Email. L'accesso di terzo livello credo che di fatto per ora sia inutilizzato. Personalmente preferisco lo SPID delle Poste per non complicarmi ulteriormente la vita con le apps.
Correggimi se sbaglio, lo SPID di Poste utilizza come primo fattore le credenziali del loro sito e come secondo fattore si possono scegliere gli sms, ma la password può essere recuperata tramite SMS, quindi in pratica c'è un solo fattore di autenticazione. :D
 
Ultima modifica:
SPID Poste-Id è indipendente dal sito delle Poste. Usa un indirizzo email come username e una password autonoma. Inoltre, a differenza di Infocert, utilizza due OTP entrambe necessarie (una inviata via SMS, una inviata via email).
 
Lo spid 3 è uno spid 2 in cui l'otp è generata da un dispositivo hardware dedicato, ricalca l'autenticazione a 2 fattori usata dalle banche che usano un token hardware.
non esattamente. Il livello 3 richiede l'utilizzo di un dispositivo che contenga e trasmetta le informazioni necessarie alla autenticazione, p.e. smartcard e lettore. In generale e con alcune eccezioni, i token delle banche sono dispositivi autonomi che non necessitano di connessione. La cosa più "simile" al livello 3 attualmente in uso, seppur limitato, è la autenticazione via TS-CNS Tessera Sanitaria - Carta Nazionale Servizi (con riconoscimento fisico effettuato presso le ASL in alcune Regioni), che però non è integrata nello SPID... e avrebbe senso che lo fosse, se non altro per capitalizzare sugli investimenti già fatti e visto che è fornita gratuitamente dallo Stato (dove per gratuito si intende pagato con i soldi di tutti i contribuenti...). Immagino che i fornitori privati di autenticazione SPID il livello 3 lo farebbero certamente pagare!!!
 
L'adozione dello spid da parte delle banche non aumenterebbe la loro sicurezza, utilizzano già metodi equivalenti.

Lo spid 3 è uno spid 2 in cui l'otp è generata da un dispositivo hardware dedicato, ricalca l'autenticazione a 2 fattori usata dalle banche che usano un token hardware.

In realtà il livello spid3 corrisponde al LoA4 dell’ISO-IEC 29115 (livello di sicurezza high) che, tra le svariate altre cose, prevede l'uso di certificati digitali. Qui la specifica:
https://www.oasis-open.org/committees/download.php/44751/285-17Attach1.pdf

Tuttavia non è pensato per i privati ed è certo che sarà un servizio a pagamento dunque, ai nostri scopi, riveste senz'altro poco interesse.:yes:
 
SPID Poste-Id è indipendente dal sito delle Poste. Usa un indirizzo email come username e una password autonoma. Inoltre, a differenza di Infocert, utilizza due OTP entrambe necessarie (una inviata via SMS, una inviata via email).
Ok, meglio così.
 
non esattamente. Il livello 3 richiede l'utilizzo di un dispositivo che contenga e trasmetta le informazioni necessarie alla autenticazione, p.e. smartcard e lettore. In generale e con alcune eccezioni, i token delle banche sono dispositivi autonomi che non necessitano di connessione. La cosa più "simile" al livello 3 attualmente in uso, seppur limitato, è la autenticazione via TS-CNS Tessera Sanitaria - Carta Nazionale Servizi (con riconoscimento fisico effettuato presso le ASL in alcune Regioni), che però non è integrata nello SPID... e avrebbe senso che lo fosse, se non altro per capitalizzare sugli investimenti già fatti e visto che è fornita gratuitamente dallo Stato (dove per gratuito si intende pagato con i soldi di tutti i contribuenti...). Immagino che i fornitori privati di autenticazione SPID il livello 3 lo farebbero certamente pagare!!!
In realtà il livello spid3 corrisponde al LoA4 dell’ISO-IEC 29115 (livello di sicurezza high) che, tra le svariate altre cose, prevede l'uso di certificati digitali. Qui la specifica:
https://www.oasis-open.org/committees/download.php/44751/285-17Attach1.pdf

Tuttavia non è pensato per i privati ed è certo che sarà un servizio a pagamento dunque, ai nostri scopi, riveste senz'altro poco interesse.:yes:
Il livello 3 non richiede che il dispositivo trasmetta le informazione necessarie all'autenticazione, richiede che le chiavi private utilizzate per generare le informazioni necessarie all'autenticazione siano memorizzate in dispositivi hardware, la trasmissione la può fare l'utente digitando l'otp generata (nel caso della tessera sanitaria l'informazione non è trasmessa dalla smartcard, è generata dalla smartcard e trasmessa dal browser). Dal link di FogOnLine:

"LoA4 is similar to LoA3, but it adds the requirements of in-person identity proofing for human entities and the use of tamper-resistant hardware devices for the storage of all secret or private cryptographic keys"

Questo descrive ne più ne meno i token hardware usati dalle banche. In particolare i token CAP come quello di Poste Italiane (la Postamat) sono vere e proprie smartcard che funzionano in modo analogo alla tessera sanitaria, generando le informazioni necessarie all'autenticazione tramite chiavi private contenute al suo interno.
 
l'informazione non è trasmessa dalla smartcard, è generata dalla smartcard e trasmessa dal browser
...non è trasmessa dal browser, è trasmessa dalla interfaccia di rete... ;) Comunque tutti i token bancari che ho avuto occasione di usare erano di tipo stand-alone (per intenderci, quelli RSA che non hanno niente a che fare con i certificati digitali). Le Poste utilizzano un lettore stand-alone + smart card per generare e visualizzare una OTP. La Tessera Sanitaria invece la metti in un lettore di Smart Card collegato a USB, il browser la vede... e fine della storia.
@FogOnLine: l'autore di questo articolo è il manager che al tempo che fu ricevette il giovane piazzista Bill Gates... :)
 
Indietro