La maggior parte dei provider SPID supporta l’autenticazione a due fattori tramite un’app che genera codici OTP. Ogni provider ha la propria app, incompatibile con le app degli altri provider e con quelle “universali” [...] Peccato che, dietro le quinte, tutte le app usino lo stesso algoritmo e che l’incompatibilità sia puramente artificiale. In questo post analizzo le app per Android di alcuni provider SPID. Con del reverse engineering ottengo i parametri necessari per la generazione dei codici OTP, e li uso per configurare un generatore di codici universale Continua con un bell'esempio di reverse enginering accessibile a tutti, su https://blog.jacopo.io/it/post/spid-google-authenticator/ Due considerazioni personali a margine: - l'interoperabilità in questo caso potrebbe porre un oggettivo rischio di sicurezza per gli utenti, che potrebbero involontariamente diffondere un segreto non facile da modificare - MAI installare App come Google Autheticator che, oltre ad avere accesso a dati estremamente sensibili richiede, fra gli altri i permessi di "full network access", "view network connections" e "use accounts on the device". Cosa mai può andare storto? Giacomo