Ieri ho avuto il piacere di partecipare alla conferenza "Cultura digitale e politica dell'innovazione" a cura dell'Istituto per le Politiche dell'Innovazione con il Patrocinio della Camera dei Deputati.
Una cornice unica dove lo stato dell'arte sulla penetrazione dei servizi digitali alle masse rappresentava uno degli spunti di discussione ed approfondimento delle diverse tavole rotonde.
E' stata una bella occasione perchè parlavano gli addetti ai lavori ma ne parlavano nel modo corretto: l'innovazione digitale come un bene comune, di tutti.
Si ragionava ad esempio sullo scarso utilizzo della firma digitale, della posta elettronica certificata nonostante sul piano normativo siamo stati precursori.
Lì, in silenzio, riflettevo che anche io, molto pigramente, non utilizzavo appieno le funzionalità dei servizi di PEC pur avendo anche perfettamente coscienza dell'infrastruttura e del funzionamento del sistema.
Tornando a casa provo ad effettuare il login tramite dispositivo mobile per vedere se i servizi offerti sono cambiati e se altre funzionalità sono state aggiunte.
Accesso negato
Compatibilità con i dispositivi mobili, sicuro.
Riprovando da una postazione fissa purtroppo il risultato non cambia.
Strano. Molto strano in quanto utilizzo con le stesse credenziali una ricaricabile postepay.
Provo: postepay funziona correttamente.
Il servizio di postemail NO. Comincio a rovistare sul sito per cercare dettagli, guide, informazioni, faq o quant'altro potesse aiutarmi finchè incappo in un avviso che mi ha lasciato perplesso. Recitava più o meno così: "In nessun caso dovranno essere digitati tutti e dieci i caratteri del codice dispositivo segreto". Ma è riferito al codice dispositivo... Penso tra me e me sull'opportunità di questa dichiarazione in una pagina pubblica del sito: perchè confermare implicitamente in un'area pubblica la lunghezza del codice dispositivo?
E poi, tutte le mie password sono ben più lunghe di 12 caratteri: come mai un dispositivo (che conferma movimentazioni di denaro) così corto?
A quel punto mi è balenata in testa un'idea malsana: che avessero uniformato "tagliando" le password superiori a 10 caratteri?
Provo. Non ci credo...
Allucinante.
Riesco ad entrare nel mio account specificando il mio username e la mia password originale fino al 10° carattere!
Aldilà della scelta che mi auguro abbia almeno per loro un senso, nessuna comunicazione mi è mai stata fornita, nè preventiva nè successiva.
Se tutto ciò non bastasse, dopo il primo login con successo, riesco ad entrare con *entrambe* le password! (della serie scrivi quello che vuoi tanto leggo i primi 10 caratteri)
Mi è sembrato utile scrivere questo contributo come una storia, una cronologia di eventi perchè mi sono immedesimato in quegli utenti non addetti ai lavori che si avvicinano diffidenti ai nuovi strumenti tecnologici.
Casi come questi decisamente non aiutano.
@Sandro
Sicuramente penso che non sia affato opportuno avere (oggi) sistemi di home banking protetti da password di soli 5 caratteri. Ti dirò di più: mi sembra rischioso avere sistemi di home banking che non sfruttino security token, hardware o software che siano tramite meccanismi di autenticazione One Time Password.
Detto questo, nel mio intervento lamento la scarsa trasparenza verso l'utenza (se un utente medio si fosse trovato nelle mie condizioni, avrebbe probabilmente provato ad accedere senza successo, non avrebbe fruito del servizio e magari avrebbe anche bloccato l'account) nonchè l'assurdità di "troncare" le password.
Se ciò non bastasse, permettere di inserire anche 200 caratteri nel campo password (si, non era bloccato al decimo carattere il modulo d'immissione) per poi elaborarne solo i primi 10 mi sembra quanto meno "singolare".
Scritto da: Armando Leotta | 02/02/2009 a 15:25
Non vedo motivo di lamentela.
Almeno sul tuo conto hai una password di ben 10 caratteri (immagino almeno alfanumerici).
Che ne pensi di una Banca (Xelion Bank, Gruppo Unicredit tanto per non fare i nomi) che improvvisamente mi ha forzato a proteggere l'accesso ai dati del mio conto corrente on line con una password di soli 5 caratteri numerici ?
(per movimentare il denaro serviva un CDS ulteriore)
La cosa divertente che il Garante la Protezione dei dati personali, dopo una mia richiesta di chiarimenti e dopo un'anno di "lavoro", mi ha dato torto, dichiarando che il livello di protezione fornito dalla banca era adeguato!!!
(il razionale e' che al terzo tentativo con password errata l'accesso al conto sarebbe stato bloccato)
Scritto da: Sandro Fontana | 02/02/2009 a 13:24
Il codice dispositivo segreto serve(serviva) per confermare una transazione: allegato a un conto è composto da 10 cifre che vanno inserite solo quando richiesto e mai tutte.
E' una cosa standard, su due conti che abbiamo in famiglia entrambi hanno il codice di uguale lunghezza.
La cosa strana è che abbiano fuso il concetto di codice dispositivo segreto con quello di password: ho sempre avuto username+password+CDS.
IMHO un sistema con un codice "statico" non è il massimo della comodità, preferisco i sistemi a chiave RSA dinamca del gruppo unicredit etc.. Bisogna sempre portare appresso la chiavetta ma se non altro è abbastanza sicuro.
Scritto da: Nick | 16/01/2009 a 19:45
Perfetto per me, che mi ricordo sempre metà delle mie password.. :)
Scritto da: S. | 16/01/2009 a 17:08