Autenticazione di secondo livello SPID

Progettazione e Sviluppo di una Mobile Application per la gestione dell’accesso di Secondo livello SPID.

L’app prevede la gestione di più account SPID sullo stesso dispositivo e l’accesso in modo sicuro, semplice e veloce ai servizi online della pubblica amministrazione che sono parte del sistema SPID.

Come fa questo?

La mobile app genera un TOTP (Time One Time Password – https://tools.ietf.org/html/rfc6238), una password temporanea valida per un intervallo di tempo limitato; per un corretto funzionamento è fondamentale che il server che genera la TOTP e il client che la riceve siano sincronizzati (ovvero abbiano lo stesso unixtime, valore in secondi soltamente calcolato rispetto al 1° gennaio 1970). Teoricamente può essere scelto anche un altro valore per unixtime che non sia 0; la cosa importante è che client e server scelgano lo stesso valore.

L’autenticazione di secondo livello può essere effettuata anche attraverso le notifiche push:

dopo aver inserito le credenziali corrette, verrà inviata una notifica sul proprio cellulare con la richiesta di conferma dell’accesso.

Le notifiche push sono il metodo predefinito per l’autenticazione a due fattori; nel caso in cui l’app non disponga dei permessi per le notifiche o il telefono non abbia abilitato il servizio, sarà comunque possibile utilizzare la TOTP.

L’app soddisfa i criteri di sicurezza di OWASP (Open Web Application Security Project), una fondazione senza scopo di lucro che lavora per migliorare la sicurezza del software.

In particolare, viene garantita costantemente la revisione del codice per identificare le falle di sicurezza.

La revisione della sicurezza del codice è il processo di auditing dei sorgenti dell’applicazione per verificare che i controlli di sicurezza siano presenti, che eseguano ciò che è stato richiesto, e che siano richiamati laddove sia necessario.

Applicando una corretta revisione verrà garantito che l ‘applicazione sia sviluppata per essere “self-defending”.

È stato applicato inoltre un modello delle minacce ad alto livello. Le macro-aree interessate sono:

Agenti di minaccia
Superficie di attacco (inclusa qualsiasi interfaccia pubblica e di backend)
Possibili attacchi
Controlli di sicurezza richiesti (sia per fermare attacchi conosciuti sia per venire incontro alle esigenze aziendali)
Potenziali impatti tecnici

Viene inoltre definita una Security Checklist (sull’app in questione, ma più in generale su ogni mobile app progettata e/o sviluppata da Innonation) contenente le domande giuste relazionate al contesto della piattaforma.

La checklist va a ricoprire i più critici controlli e aree di vulnerabilità come:

Validazione dei dati
Autenticazione
Gestione della sessione
Autorizzazione
Crittografia
Gestione degli errori
Logging
Configurazioni della sicurezza

Tecnologie: VisualStudio; Xamarin; Xaml; C#

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.