[Linuxtrent] Re: SPID e Google Authenticator
- From: Antonio Galea <antonio.galea@xxxxxxxxx>
- To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
- Date: Thu, 11 Mar 2021 12:30:10 +0100
On Tue, Mar 9, 2021 at 10:57 PM Emanuele Olivetti
<emanuele.olivetti@xxxxxxxxx> wrote:
Ciao,
Vi condivido uno splendido articolo di Jacopo Jannone sulle app per
autenticarsi con SPID, tutte inutilmente incompatibili tra loro e
closed-source... e su come superare questo problema:
https://blog.jacopo.io/it/post/spid-google-authenticator/
L'articolo è in sé molto interessante, ma passa sopra ad un problema
di fondo: l'estrazione del segreto è proprio il problema che queste
app cercano di evitare (inutilmente: come sempre, senza un supporto
hardware, e a volte anche con quello). Il punto è che quel segreto è
proprio ciò che, almeno in teoria, dovrebbe servire a rendere
affidabile l'autenticazione della persona. Sono convinto che le
differenti app non siano interoperabili non per calcolo commerciale
quanto perché ogni provider ha tentato in modo diverso (ed
infruttuoso, come l'autore dimostra facilmente) di proteggere il
segreto.
Una volta che il segreto ed i parametri sono noti, la device
"autorizzata" diventa del tutto irrilevante - a questo punto basta
usare un generatore TOTP qualsiasi per "impersonare" l'utente.
Per esempio questo, sul PC:
https://github.com/susam/mintotp
(oppure andOTP, su Android).
Tra parentesi, io uso PosteID e posso confermare che funziona anche su
un telefono con root, a patto di "nasconderlo" con l'opzione hide di
Magisk. Con più o meno sforzo di solito si riesce a far funzionare un
po' tutto, con buona pace delle "protezioni".
Antonio
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
