La maledetta password dello SPID di Poste
Stamattina ho aperto l’app IO per vedere alla fine quanto cashback ho accumulato. Diversamente dal solito, però, l’app mi ha detto che il mio login era scaduto e mi ha chiesto di rifare un login con SPID.
Tuttavia, a differenza di tutti gli altri login SPID, questo non avviene tramite QR code e/o impronta digitale nell’app PosteID; bisogna inserire a mano username e password.
Ovviamente, siccome questo è l’unico login SPID che richiede di inserire esplicitamente la password, io non ricordavo più la password dello SPID.
Normalmente io uso un set di password base e di loro varianti che ricordo a memoria, diverse a seconda del livello di sicurezza, e che generalmente memorizzo nel browser, a sua volta protetto da una password unica. Ovviamente, però, non memorizzo nel browser la password dello SPID (o della banca o di altri servizi cruciali).
Tuttavia, quando si cerca di scegliere una password per lo SPID di Poste, si riceve un set di requisiti assolutamente folle (nell’immagine qui sotto).
In più, PosteID obbliga a cambiare la password regolarmente: una pratica che era ritenuta sicura 10-15 anni fa, ma che è stata generalmente abbandonata perché l’unico risultato è che la gente non si ricorda mai la password del momento e, oltre a intasare tutti i sistemi di recupero e rimanere regolarmente chiusa fuori dal proprio account, finisce per scriversi la password da qualche parte.
I requisiti di PosteID sono talmente complicati che anche se nel proprio set di password ricordate a memoria ce ne fossero alcune che ci entrano, al secondo o terzo cambio forzato non le si può più utilizzare, nemmeno con delle varianti.
Insomma, l’unica cosa possibile con le attuali policy di PosteID è davvero scriversi la password su un pezzo di carta in casa o nel portafoglio, una cosa potenzialmente ben più pericolosa di memorizzare una sola password (non banale) mantenuta nel tempo. Anche perché poi, quando recuperi l’appunto scritto, se sei poco ordinato può succedere che non sia veramente la password attuale, e che tu rimanga chiuso fuori lo stesso.
Comunque, mi pare strano che non sia possibile avere su Android una interfaccia applicativa con cui l’app IO chiede l’autenticazione all’app PosteID, che la chiede all’utente con l’impronta digitale come per tutti gli altri servizi. Spero che il moloch informatico parastatale riesca prima o poi a sistemare pure questo.
(Ah, comunque ho accumulato 48 euro di cashback in 20 transazioni.)