Spid più sicuro con lo standard OpenID Connect

AgID ha rilasciano nuove linee guida col fine di rendere lo SPID più sicuro grazie all'adozione dello standard OpenID Connect. La novità riguarda i gestori e non gli utenti. 
Share on facebook
Share on twitter
Share on whatsapp
Share on email

Come spieghiamo nel nostro articolo precedente “SPID: cos’è e come si ottiene!” i vantaggi dello SPID sono molteplici in quanto è possibile accedere a qualunque sito web della Pubblica Amministrazione senza dover effettuare alcuna registrazione.

AgID , rilasciando le nuove linee guida, ha confermato che OpenID Connect sta per entrare a far parte di SPID. Grazie a questo SPIS diventerà maggiormente interoperabile.

Le linee guida AgID per la sicurezza dello SPID

Con la determinazione n. 616/2021, AgID ha pubblicato le linee guida che, a partire dal primo maggio 2022, dovranno adottare i gestori dell’identità digitale per rendere sicuro il servizio dello SPID.

Per gli utenti non cambia apparentemente nulla, in quanto non dovranno cambiare le modalità con cui usare lo SPID, ma dal punto di vista della cyber security cambia tutto, perché passeranno dallo standard poco sicuro Saml, attualmente in uso, allo standard sicuro OpenID Connect. 

I punti di forza di SPID OpenID Connect

Da tempo Google, PayPal, Microsoft e i principali colossi del web hanno implementato OpenID Connect, proprio perché rappresenta un salto di qualità dal punto di vista della sicurezza. 

Rispetto allo standard Saml, AgID evidenza tre principali vantaggi:

  • maggiore sicurezza
  • maggiore facilità di integrazione di sistemi eterogeni 
  • migliore integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile

OpenID Connect prevede inoltre vari controlli di sicurezza obbligatori, tra cui quelli che consentono di evitare ai malintenzionati di intercettare le comunicazioni, soprattutto nel caso di applicazioni per dispositivi mobili. 

Lo standard permette anche di usare sessioni lunghe revocabili per evitare l’inserimento frequente della password e la possibilità per gli utenti di bloccare un’autenticazione precedentemente effettuata.