Damiano Verzulli <dami...@verzulli.it> writes: > Il 03/02/22 10:16, ERR ha scritto:
[...] >> Ma ho ancora dei dubbi a riguardo; sarebbe interessante capire quanto >> davvero costa ai fornitori una soluzione rispetto all'altra. > > Io credo che, prima ancora che un problema "strettamente economico", sia > un problema "culturale". Mi spiego: > > A) è una APP che usa i GoogleServices per interfacciarsi con lo > smartphone e con le librerie (di google) di gestione del secondo fattore > (sensore biometrico se presente; o TOTP con relative librerie software); > > B) è una APP che genera il secondo fattore e lo manda via SMS > > C) è una APP che genera il secondo fattore e lo gestisce via standard > TOTP (ad esempio, via FreeOTP+) immagino tu ti stia riferendo all'applicazione client ma la sola e unica cosa importante è il /protocollo/ usato lato server, che deve essere (ed è) interoperabile da quello che ho letto è molto probabile che lato server utilizzino software libero (FreeIPA?); il VERO servizio erogato /tecnicamente/ è questo e a quanto pare tutti i provider utilizzano di propria spontanea volontà TOTP: ottimo! lato client potrebbero /semplicemente/ consigliare uno degli N client a disposizione (es. FreeOTP come hai scritto), un po' come succede con i fornitori di caselle email; questo non ha NULLA a che fare con il servizio erogato, non abbiamo bisogno che i fornitori ci "regalino" la app: vogliamo _solo_ i nostri parametri di configurazione poi, ripeto, nessuno dovrebbe essere costretto ad usare un'app - anche se libera - per ottenere la propria OTP, visto che ci sono sistemi perfettamente integrati lato deskop - come ad esempio KeepassCX [1] o PasswordStore con interfacce multiple [2] come qtpass [3] - che con una semplice combinazione di tasti consentono di copincollare l'OTP dove serve [...] > C) è implementabile a costo zero, come A)... ma lo sviluppatore _DEVE_ > capire come funziona TOTP e come implementarla _SENZA_ utilizzare i > servizi Google. È questo l'ostacolo principale. Di fatto deve spendere > (lo sviluppatore) due ore a capire cosa e' TOTP + un'ora a capire come > implementarlo + lo stesso tempo di A) per "implementare" non è affatto necessario che i fornitori SPID sviluppino una propria app per l'invio del codice OTP, così come non è affatto necessario che i fornitori di caselle email sviluppino un proprio client email interoperabilità, appunto [...] saluti, 380° [1] https://keepassxc.org/docs/#faq-security-totp [2] https://www.passwordstore.org/#other [3] https://qtpass.org/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
