Una OTP è una password casuale generata sul momento, valida una volta sola: così si potrebbe riassumere l’idea dietro la OTP o One-Time Password.

A che serve il codice OTP

Una OTP, infatti, è utile per aggiungere un secondo strato di sicurezza nelle operazioni di login tradizionali, che sono legate ad una username e password statica, soggetta ad attacchi informatici come quelli a dizionario (si provano più credenziali contemporaneamente) o più genericamente attacchi con replica (replay-attack, una forma di aggressione di rete che consiste nell’impossessarsi di una credenziale di autenticazione comunicata da un host ad un altro, e riproporla successivamente simulando l’identità dell’emittente).

Del resto, anche ammesso che un intruso riesca a intercettare una OTP che è stata già utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla una seconda volta.

Come viene usato

Utilizzato da varie

con più tecnologie e modalità, le OTP sono in grado di aumentare notevolmente la sicurezza delle operazioni svolte online, soprattutto per quanto riguarda la comunicazione di dati sensibili, di operazioni certificate e naturalmente di pagamenti su internet.

Codice OTP per i pagamenti

Le OTP per i pagamenti online sono infatti disponibili sulle carte dei circuiti VISA, Mastercard o American Express, e possono essere utilizzate come fattore di autenticazione aggiuntivo.

  • SMS. Si tratta di una delle OTP più diffuse a larga scala: in pratica dopo aver fatto un login, o pre-autorizzato un pagamento, il gateway invia un messaggio di testo con un codice OTP sul telefono del proprietario, in modo che mediante la OTP generata sul momento si possa certificare l’autenticità dell’operazione. Al tempo stesso, pero’, c’è da specificare che il NIST (National Institute of Standards and Technology americano) ha pubblicato da tempo un draft di documento che sconsiglia l’utilizzo di SMS per l’autenticazione a due fattori, o che comunque non lo considera il miglior metodo possibile, visto che teoricamente gli SMS possono essere intercettati da terzi. Per quanto i dettagli tecnici siano di difficile comprensione e, a parere di chi scrive, legati ad un insieme di circostanze (perchè si possa aggirare una OTP via SMS è necessario che vi venga infettato il PC con un trojan e, al tempo stesso, vi venga sottratto il numero di telefono, anche senza necessità di clonare la scheda SIM), rimane il fatto che un caso del genere è avvenuto in Germania tempo fa, come raccontato sul blog di Kaspersky.
  • Chiavi di accesso. Molti servizi di banking online mettono a disposizione la possibilità di generare la OTP mediante una chiave crittografata, in pratica un piccolo dispositivo associato univocamente al nostro conto, in grado di far comparire un codice numerico unico che poi si possa inserire per confermare le operazioni. Per i pagamenti online, ad ogni modo, questa tecnica non sembra essere molto diffusa, almeno per il momento, ma rimane essenziale per tutti gli altri tipi di pagamento.
  • Google Autenthicator. La tecnologia offerta da Google è in parte sottovalutata o ignota al grande pubblico, ma permette di accedere in modo molto sicuro ai servizi di pagamento online, ed è quindi da preferirsi. Ovviamente devono essere gli sviluppatori dei servizi di pagamento ad implementarla, cosa che in parte per alcuni servizi di pagamento (es. bitcoin) inizia ad essere popolare.

Vediamo ora alcuni esempi di uso.

Esempio d’uso di codice OTP (con cellulare)

L’uso del proprio smartphone come generatore di codici OTP è il più diffuso, senza dubbio, ed il più semplice da mettere a disposizione. Il servizio di protezione del denaro su carta prepagata PostePay, ad esempio, è attualmente sfruttato in questi termini.

Un esempio di accesso con codice OTP e cellulare potrebbe essere:

    1. andiamo nel sito della nostra banca, e digitiamo username e password del nostro conto
    2. una volta entrati il sito ci invia un SMS con un codice OTP sullo smartphone che abbiamo registrato
    3. ricopiamo il codice numerico generato all’interno del sito di home banking della nostra banca, dove indicato;
    4. confermiamo l’accesso ad avremo ora accesso al conto.
    5. La stessa procedura può valere anche per effettuare pagamenti online e bonifici, ad esempio, in modo da avere massima probabilità che l’operazione sia stata davvero autorizzata da noi.

Esiste anche una variante di OTP che sfrutta un indirizzo mail per ricevere il messaggio di conferma, è un sistema di protezione discreto ma non permetto perchè la mail potrebbe essere intercettata. Anche un SMS, del resto, potrebbe essere letto dall’esterno e la rete GSM non è considerata il massimo della sicurezza dagli esperti, in questo ambito.

Esempio d’uso di codice OTP (con token)

Un token è un dispositivo hardware con un display sopra, del tutto simile come design ad un “pennino” USB, ma con funzionalità diversa: serve infatti a generare il codice OTP per il nostro accesso personalizzato. Ognuno di questi dispositivi, quando vengono consegnati, sono univocamente assegnati ad un utente e sono unici nel loro genere, in modo tale che non sia possibile clonarli e che garantiscano l’accesso all’account bancario solo al legittimo proprietario.

Questo è anche il modo più sicuro per utilizzare OTP per la sicurezza dei nostri account, ma ovviamente la modalità deve essere prevista dal servizio che stiamo utilizzando.

Un esempio di accesso con codice OTP potrebbe essere:

  1. andiamo nel sito della nostra banca, e digitiamo username e password del nostro conto
  2. su richiesta, generiamo un codice OTP con il dispositivo di cui sopra
  3. ricopiamo il codice numerico generato all’interno del sito di home banking della nostra banca, dove indicato;
  4. confermiamo l’accesso ad avremo ora accesso al conto.
  5. La stessa procedura può valere anche per effettuare pagamenti online e bonifici, ad esempio, in modo da avere massima probabilità che l’operazione sia stata davvero autorizzata da noi.

 

4.5/5 (114)

Cosa ne pensi?