hit counter
I have a dream: le mie identità digitali gestite in sicurezza su Internet - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

I have a dream: le mie identità digitali gestite in sicurezza su Internet

I have a dream: le mie identità digitali gestite in sicurezza su Internet

  • Comments 6
  • Likes
 

Sarà per la giornata da incubo trascorsa avantieri in un paio di importanti attività che mi hanno portato a Roma (voli rinviati  e cancellati, traffico, vento forte a Fiumicino, pioggia e grandine... ), mi è successo di fare un sogno incredibile all'alba di ieri. Sentite un pò.

Mi ritrovavo tutto intento a navigare in Internet, in quelle frequenti occasioni di puro surfing, quando concentri cento attività nello spazio di un'ora o poco più, tipo fare un bonifico per la retta al nido del bimbo ed una ricarica telefonica per tua moglie, controllare l'estratto conto della carta di credito e quello del Telepass per fare la nota spese, e poi, perché no, comprare l'ultimo libro di security su Amazon, cercare disperatamente il modellino della Toyota Celica 2.0 GT Coupè (non l'ultimo modello) su eBay, e ancora, prenotare il volo per il prossimo appuntamento a Roma, controllare i punti Fidaty del supermercato Esselunga che stanno per scadere, ordinare qualche foto del bimbo da spedire ai nonni, aggiornare il BIOS del tuo cellulare, aggiungere i crediti della certificazione CISSP sul sito di ISC2, controllare che quelle  4 azioni che hai da parte non si siano dissolte dopo la recente bufera asiatica...

Stavo già sudando e domandandomi ancora una volta: riuscirò a ricordare questa raffica di credenziali di accesso (mi sono fermato a 11 per non tediarvi, ma uno studio ha indicato che ognuno di noi ha in media 23 identità digitali/credenziali online), scelte appositamente tutte diverse per non fare la figura di quello esperto di sicurezza che poi usa la stessa password dappertutto e rimane fregato dal primo attacco phishing ben piazzato (un altro studio ha dimostrato che un attacco phishing è stato in grado di ingannare il 95 % di un gruppo di esperti di sicurezza ...)? Continuando a sognare, nel bel mezzo di questo cruccio, atterro sulla prima home page della lista, quella della mia banca e ... opss...trovo, accanto alle tradizionali caselle di testo per l'inserimento delle credenziali, un bel tastone che mi invita a loggarmi con Windows CardSpace. Ma che sarà mai ? Sarà sicuro premere sto tasto? La curiosità è donna, ma anche degli appassionati di tecnologia... pigio o non pigio ? Massì pigio, tanto c'ho Vista e se tenta di fare qualcosa di strano IE7 mi avvisa e mi fermo lì prima di fare danni. Premo questo tastone e d'incanto mi si apre una bella finestra in primo piano, con tutto il resto dello schermo che diventa buio: urca, la situazione si fa seria, addirittura stanno invocando il Secure Desktop! Questa finestra ha una serie di immagini del tutto simili a piccole carte di credito (Information card - Infocard), e incredibile, sono proprio uguali a tutte quelle di plastica che nel mio portafoglio fanno sformare la tasca destra posteriore dei miei pantaloni (è il rimprovero di mia moglie che risuona...)! Solo un paio però sono illuminate, le altre sono in grigetto: quella della mia banca dove sto cercando di accedere e quella che rappresenta la mia carta di identità elettronica. Uhmm... certo ... evidentemente la banca ha preso accordi con l'anagrafe nazionale e quindi accetta anche la carta d'identità per farmi autenticare. Quale scelgo da inviare ? Massì verifichiamo come funziona questa federazione di identità: d'altra parte chi meglio del Ministero dell'Interno sa certificare che io sono Feliciano Intini  ? Seleziono quindi la carta d'identità elettronica, ma prima di premere il tasto di "Send" sono attratto dal tasto "Preview": un altro click curioso ed ecco che mi appare l'elenco delle informazioni (attributi, claim) che il sito della banca mi sta chiedendo per darmi l'OK all'accesso. Perfetto, tutto a posto, la banca mi sta solo chiedendo nome, cognome e codice fiscale: ora mi sento più tranquillo, non sia mai che usando la infocard che rappresenta la mia carta di identità si finisca per fornire l'impronta digitale del mio dito indice alla mia banca... va bene che siamo in confidenza visto che gestisce il mio patrimonio (a interessi quasi zero), ma cosa gliene importa dei miei dati sensibili ? Così va bene, fornire solo le minime informazioni strettamente necessarie, e solo a chi ne ha davvero bisogno ("Need to know"), questa sì che è Privacy! Ok vado, clicco su "Send" e... voilà ... sono loggato ! Fantastico! Semplice e immediato (credo di riuscire a farlo capire alla mia mamma, che ancora mi telefona per aiutarla a impostare una videoregistrazione...), chiaro e informato (ho capito tutto il flusso delle informazioni sulla mia identità, cosa mi chiedeva il relying party - il sito della banca - e quali dati forniva l'identity provider - l'anagrafe - che ho scelto per autenticarmi), al sicuro dal phishing (non ho dovuto inserire la coppia username/password). Gasatissimo di questa esperienza tutta nuova, mi lancio incredulo verso gli altri siti che avevo in programma di visitare: no, non può essere, hanno tutti il tastone di Windows CardSpace , tutti funzionano allo stesso modo, evviva non devo più ricordare tutte quelle password diverse! Ormai il sogno si fa sempre più frenetico... c'è ancora qualcosa che non mi torna ... sto andando su siti scritti sicuramente con tecnologie non-Microsoft e tutto è ancora consistente e funziona allo stesso modo ... ah ecco la magagna...certo... sto sempre usando il mio buon Windows Vista, scommetto se vado su qualche altra piattaforma client diversa non mi funziona più questo meccanismo di Infocard: aspetta, visto che mi trovo provo subito, ho qui un client Linux Ubuntu ed un MacBook... Nooo, non credo ai miei occhi: hanno anche loro un identity selector come Windows CardSpace e la mia esperienza è identica! Speriamo solo che l'abbiano scritto con gli stessi criteri di sicurezza di CardSpace, ma sì l'avranno fatto ...

Eh sì, si vede che è proprio un sogno... la tecnologia che mette finalmente l'utente e la sua privacy al centro della dinamica di scambio delle informazioni relative alle sue identità digitali, che riesce a superare le barriere di eterogeneità tra piattaforme diverse, che rende la sua esperienza di navigazione su Internet semplice, intuitiva e sicura ... avverrà solo nel 2100!

Stavo per darmi un pizzicotto per svegliarmi da questo sogno bellissimo e ... stupore... mi accorgo che ...NON STO SOGNANDO !!! ... E' incredibile lo so, ma è davvero così e se mi seguirete conto di spiegarvelo meglio... a prestissimo!

Comments
  • ... spero che il racconto del sogno reale che ho fatto nel mio post precedente sia stato efficace nel stimolare la vostra curiosità sul tema. Ora è giusto dimostrarvi come gli ossimori che sto usando (sogno reale e futuro già attuale) non siano davvero

  • E' proprio vero l'adagio che dice: "fa più rumore un albero che cade, piuttosto che una foresta che cresce". La blogosfera fa tanto clamore su informazioni di finte "nuove" vulnerabilità Microsoft (come spiegato nel mio post precedente) e invece ignora

  • Se siete blog-addicted, sarete stati già inondati da post che parlano di questa meraviglia, Microsoft Surface ! Anche i media tradizionali ne stanno parlando molto, e questo di solito si traduce per me in attività extra-time di PR ... :-)... per spiegare

  • Breve nota di servizio: sono sommerso dalle attività, aiutooo! Tornato sabato dalla settimana a Redmond

  • (Ancora un altro post per darvi prova della mia esistenza in vita... anche se latitante sul blog: ho

  • Vi sembra possibile lo scenario di poter fare un acquisto di un bene su Internet presso un sito Web che

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment