One Time Password – Cosa sono le OTP

Una password genera sul momento, e valida una volta sola: così si potrebbe riassumere l’idea dietro la OTP o One-Time Password. Una OTP, infatti, è utile per aggiungere un secondo strato di sicurezza nelle operazioni di login tradizionali, che sono legate ad una username e password statica, soggetta ad attacchi informatici come quelli a dizionario (si provano più credenziali contemporaneamente) o più genericamente attacchi con replica (replay-attack, una forma di aggressione di rete che consiste nell’impossessarsi di una credenziale di autenticazione comunicata da un host ad un altro, e riproporla successivamente simulando l’identità dell’emittente). Del resto, anche ammesso che un intruso riesca a intercettare una OTP che è stata già utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla una seconda volta.

Implementabile con più tecnologie e modalità, le OTP sono in grado di aumentare notevolmente la sicurezza delle operazioni svolte online, soprattutto per quanto riguarda la comunicazione di dati sensibili, di operazioni certificate e naturalmente di pagamenti su internet. Le OTP per i pagamenti online sono infatti disponibili sulle carte dei circuiti VISA, Mastercard o American Express, e possono essere utilizzate come fattore di autenticazione aggiuntivo.

-----
  • SMS. Si tratta di una delle OTP più diffuse a larga scala: in pratica dopo aver fatto un login, o pre-autorizzato un pagamento, il gateway invia un messaggio di testo con un codice OTP sul telefono del proprietario, in modo che mediante la OTP generata sul momento si possa certificare l’autenticità dell’operazione. Al tempo stesso, pero’, c’è da specificare che il NIST (National Institute of Standards and Technology americano) ha pubblicato da tempo un draft di documento che sconsiglia l’utilizzo di SMS per l’autenticazione a due fattori, o che comunque non lo considera il miglior metodo possibile, visto che teoricamente gli SMS possono essere intercettati da terzi. Per quanto i dettagli tecnici siano di difficile comprensione e, a parere di chi scrive, legati ad un insieme di circostanze (perchè si possa aggirare una OTP via SMS è necessario che vi venga infettato il PC con un trojan e, al tempo stesso, vi venga sottratto il numero di telefono, anche senza necessità di clonare la scheda SIM), rimane il fatto che un caso del genere è avvenuto in Germania tempo fa, come raccontato sul blog di Kaspersky.
  • Chiavi di accesso. Molti servizi di banking online mettono a disposizione la possibilità di generare la OTP mediante una chiave crittografata, in pratica un piccolo dispositivo associato univocamente al nostro conto, in grado di far comparire un codice numerico unico che poi si possa inserire per confermare le operazioni. Per i pagamenti online, ad ogni modo, questa tecnica non sembra essere molto diffusa, almeno per il momento, ma rimane essenziale per tutti gli altri tipi di pagamento.
  • Google Autenthicator. La tecnologia offerta da Google è in parte sottovalutata o ignota al grande pubblico, ma permette di accedere in modo molto sicuro ai servizi di pagamento online, ed è quindi da preferirsi. Ovviamente devono essere gli sviluppatori dei servizi di pagamento ad implementarla, cosa che in parte per alcuni servizi di pagamento (es. bitcoin) inizia ad essere popolare.

Originally posted 2018-03-15 11:06:18.

-----
4.5/5 (113)

Ti ha soddisfatto?

Leggi articolo precedente:
Perchè non è consigliabile pagare in bitcoin con un exchange (meglio usare un wallet)

In molti casi leggiamo gli esperti di Bitcoin (la criptovaluta più famosa al mondo, utilizzabile per scambi, trading ed acquisti...

Chiudi