fbpx
Dati_security

Codice OTP – One Time Password: cos’è e a cosa serve

1898 0

Il codice OTP è un sistema molto sicuro utilizzato per le operazioni online, grazie alla password generata al momento e fruibile entro breve tempo. In questo articolo di  Giorgio Perego analizziamo l’affidabilità di questo sistema.

One Time Password: significato

Il codice OTP significa one Time Password. Nell’ambito della crittografia e della sicurezza informatica, il codice OTP è una password che è valida solo per una singola sessione di accesso o una transazione. Per questo l’OTP è anche detta password usa e getta. La OTP evita una serie di carenze associate all’uso della tradizionale password, nella maggior parte dei casi si riceve via SMS, a volte anche via e-mail.

Perché il codice OTP aumenta la sicurezza?

Poiché si tratta di una password momentanea, dalla durata di pochi secondi, diventa difficilissimo da intercettare. Infatti il codice, arrivando (nel caso del messaggio SMS) direttamente sul telefono, può essere visto ed utilizzato, entro il tempo prestabilito, solo da chi lo riceve. La sicurezza aumenta anche perché il codice viene automaticamente reso inutilizzabile dopo la sua convalida.

Come si genera il codice One Time Password?

La generazione del codice OTP dipende dalla casa utilizzatrice. Potrebbe essere generato da un server ed inviato via SMS al richiedente, oppure creato tramite apposito generatore (che sia un apparecchio o una app presente sul proprio device).

Quali algoritmi vengono utilizzati per generare il codice?

Nella maggior parte dei casi gli algoritmi utilizzati per la generazione di un codice OTP fanno riferimento a numeri casuali.

Il codice OPT può essere generato utilizzando gli algoritmi che:

  1. funzionano in base alla sincronizzazione temporale tra il client e server di autenticazione.
  2. da algoritmi in cui la password dipende da un challenge e da un contatore.
  3. da algoritmi in cui la password nuova viene generata in funzione di quella precedente.

Che livello di affidabilità ha il codice One Time Password?

L’affidabilità è senza alcun dubbio più elevata rispetto ad altre tecniche perché la password è disponibile solo all’utente che la richiede.

Facciamo un esempio, durante l’acquisto di un articolo con pagamento con carta di credito, per completare il pagamento ci viene richiesto di inserire i dati della carta; in caso di smarrimento prima del blocco della carta il truffatore può utilizzarla tranquillamente.

Gestendo il codice OTP, la procedura è diversa perché per completare il pagamento, oltre ai dati della carta di credito, si richiede anche l’inserimento del codice OTP, generato al momento e senza il quale non è possibile procedere all’operazione.

Come funziona l’invio di codici OTP via SMS?

L’utilizzo dell’OTP via SMS e dell’invio di password temporanee può variare in base al sistema, implica però di norma alcuni step fondamentali:

  1. Un utente tenta di accedere ad un sistema protetto.
  2. Il sistema genera una password temporanea che soddisfa i requisiti di sicurezza ritenuti necessari, “come la lunghezza, l’utilizzo di caratteri speciali o elementi di punteggiatura.
  3. Il codice OTP è inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente in fase di registrazione.
  4. L’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato.
  5. Il portale verifica la correttezza della password temporanea e concede all’utente di accedere in sicurezza al proprio account.

Tecnologia dietro il codice OTP

Un codice OTP è alla fine una password usa e getta formata da un codice alfanumerico che viene generato in modo automatico da appositi dispositivi, chiamati in gergo tecnico “token”, o inviato all’utente tramite un messaggio SMS, o tramite email o tramite l’utilizzo di applicazioni per smartphone.

Tutte le password usa e getta si generano applicando una funzione crittografica ad una serie di valori univoca, gli algoritmi OTP sono abbastanza diversi tra loro per evitare il rischio che un cyber criminale possa facilmente prevedere il codice OTP futuro dopo aver analizzato quello precedente.

Consulta anche i seguenti canali

Il canale youtube Byte Yok

Il Cam TV Giorgio Perego 

Consulta i volumi di EPC Editore

Aggiornati con i Corsi dell’Istituto INFORMA

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi – oro, argento, diamanti e orologi di prestigio –

presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.

Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.

Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi - oro, argento, diamanti e orologi di prestigio - presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.