Lock on the converging point on a circuit, security concept - 3D Rendering MILANO Esistono diversi sistemi di autenticazione e sicurezza soprattutto per poter concludere transazioni e pagamenti online. Il mondo è sempre più tecnologico e interconnesso e uno dei metodi più diffusi per le procedure di registrazione ed autenticazione è il codice OTP (acronimo di One Time Password), ma l’one time password cos’è e a cosa serve? L’espressione di origine inglese in italiano si traduce come “password valida per una sola volta” ovvero Password usa e getta e non replicabile che consente una singola operazione di accesso o una singola transazione.
Come funziona una OTP
Il codice temporaneo è diverso dalla password “statica” perché non risulta essere vulnerabile ai replay attack (in gergo, gli attacchi con replica) vale a dire quegli attacchi o azioni informatiche atte a danneggiare sistemi informatici, infrastrutture, reti e dispositivi elettronici con le scopo di impossessarsi delle credenziali di autenticazione degli utenti. È un modo sicuro per impedire il furto di identità degli utenti a scopi illeciti. Un potenziale intruso che riesce a intercettare una OTP già utilizzata per l’accesso a un servizio o per una transazione, non potrà utilizzarla perché non più valida, essendo appunto un codice usa e getta.
L’One Time Password può essere utilizzato come unico metodo di autenticazione oppure può essere associato ad altri sistemi “blindati” come per esempio il 2FA – il two Factor Authentication – che si tratta di un altro protocollo di sicurezza basato sull’impiego di due metodi diversi di autenticazione per prevenire ogni violazione dei dati sensibili.
Una caratteristica dell’OTP è che non può essere memorizzata per cui necessita di un “supporto” come una app su smartphone o un token fisico per poter essere generata e visualizzata.
La tecnologia dell’OTP
Il codice OTP si compone si un codice alfanumerico o solo numerico che si genera in automatico con appositi dispositivi (i token) oppure viene inviato tramite SMS, e-mail o app su smartphone. Anche se l’sms non viene cancellato, la password è comunque usa e getta e non riutilizzabile.
Le password si generano tramite una funzione crittografica in base a una serie di algoritmi sempre diversi tra loro proprio per evitare i rischi di hackeraggio o che diventi prevedibile, cioè per impedire che tramite l’analisi delle OTP precedentemente generate si possono prevedere la composizione dei codici futuri. Tra le tipologie di algoritmi adottati per generare un’OTP ci sono:
- Algoritmi che si basano sulla sincronizzazione temporale tra server e client che fornisce la password;
- Algoritmi matematici che generano password in base a quella generata precedentemente dove l’OTP è un numero all’interno di una sequenza predefinita;
- Algoritmi matematici generati a random, con numeri casuali scelti dal server di autenticazione o in base ai dettagli della transazione oppure da un contatore
I token – i dispositivi appositi per generare i codici OTP – sono prevalentemente prodotti dalla Namirial, un’azienda di Information e Technology leader nel settore e che fornisce supporti e servizi fiduciari digitali per la sicurezza informatica incluse le firme elettroniche, le e-mail certificate, le fatture elettroniche e l’archiviazione digitale.
