Il cambio password di CartaSi è un filino meglio della gestione del login e della home page, ma non è comunque sicuro.
Funziona così:
- Andate sulla pagina di cambio della password
- Nessuno vi chiede la password vecchia, e già siamo messi male
- Una volta scelta la nuova password vi arriva via mail un codice OTP
- Inserite il codice OTP sulla pagina di cambio password e il cerchio si chiude.
Peccato che uno dei sacri crismi della 2FA è che il device per generare/usare il codice OTP sia diverso da quello usato per autenticarsi. La cosa che mi preoccupa è che usano il modo corretto per confermare le transazioni ma quello pessimo per altre operazioni che dovrebbero essere trattate con lo stesso riguardo.
Consiglio: non c’è un modo veramente sicuro per gestire la password. Assicuratevi di averne una molto complessa e che non usate da nessun’altra parte (cosa che dovrebbe essere il comportamento standard)