Pubblicato: 23 Novembre 2021  -  Ultimo aggiornamento: 16 Novembre 2021

One-time password o OTP: la password attenta alla sicurezza

One-time password o OTP: la password attenta alla sicurezza

Le one-time password sono strumenti molto efficaci per aumentare il livello di sicurezza in rete, utili per contrastare gli attacchi e le intrusioni ormai sempre più frequenti.

Vediamo quindi in questo articolo cosa sono e come funzionano.

Cos’è una one-time password

Il termine OTP, o one-time password, significa letteralmente password usa e getta e indica infatti delle password utilizzabili una volta sola per effettuare un accesso.

Perché dare vita a password utilizzabili una volta sola?
Le password usate regolarmente hanno molte più probabilità di essere decodificate e di finire nelle mani sbagliate, mentre con questo tipo di password, volutamente più effimere, i rischi si abbassano notevolmente.

Affidandosi a una OTP, quindi, ogni volta che si vuole eseguire una accesso, si ottiene un codice alfanumerico generato da zero che perde la propria validità già a partire dall’accesso successivo.
Per rendere la procedura ancora più sicura, le one-time password sono spesso utilizzate in un’autenticazione a due fattori, dove nel primo passaggio è necessario inserire i propri dati e la propria password, mentre in quello successivo si inserisce un codice dinamico generato in maniera automatica.

Queste password sono quindi uno strumento utilissimo, nonché molto facile da usare, con cui proteggere i propri dati sensibili, salvaguardare la privacy e navigare in rete senza temere rischi.

guida cyber security

Come funzionano le OTP?

Perché una one-time password funzioni, è necessario che sia l’utente che ne fa uso sia il sistema in cui viene inserita conoscano questa password.

I modi in cui questo avviene sono due:

  1. Elenco di password: in questo caso le password usa e getta vengono selezionate da un elenco prestabilito contenente numerose password. Tutte le combinazioni presenti nella lista sono conosciute sia dall’utente che dal sistema e se l’elenco va perso c’è il rischio concreto che un malintenzionato o un utente non autorizzato abbia accesso alle OTP.
    Quando si seleziona una password da un elenco, questa va cancellata, poiché non più riutilizzabile per accessi futuri.
    Questa modalità di one-time password è forse la meno sicura e per questo è utilizzata sempre meno da fornitori e utenti.
  2. Password generate dinamicamente: in questa modalità le password vengono create in maniera automatica da appositi strumenti hardware che possono presentarsi sotto diverse forme. La più comune è forse il piccolo dispositivo a portachiavi consegnato dalle banche agli utenti che vogliono accedere ai propri servizi online.
    Questi apparecchi sono spessi chiamati token OTP e sono dotati di un pulsante che, se premuto, genera una one-time password che appare sul display apposito.
    La password ottenuta deve poi essere inserita associata ad altri dati, PIN specifici o ID utente.
    Le OTP così generate sono le più sicure e oggi più utilizzate nei settori più delicati e a rischio.

Una one-time password dinamica è solitamente generata da un token dotato di pulsante e display.

Tutte le tipologie di one-time password

Approfondendo ancora meglio le diverse tipologie di one-time password, è utile sapere che le password generate dinamicamente sono a loro volta suddivise in altre categorie.
I sottogruppi sono nello specifico tre e dipendono da come si comporta lo speciale algoritmo che genera l’OTP.

Nella prima categoria troviamo le password basate sul tempo, create da un client – ossia un generatore di password – e da un server.
Client e server usano, in maniera abbinata, lo stesso algoritmo e l’OTP è quindi conosciuta da entrambi.
Questa particolare password si chiama time-base one-time password, o TOTP, ed è valida solo per un periodo di tempo limitato che va di solito da uno a quindici minuti.

Nel secondo gruppo ci sono invece le password basate su un evento, ottenute in seguito al compiersi di un’azione: l’esempio più classico è premere il pulsante di un token.
Anche in questo caso l’algoritmo usato da client e server è lo stesso e la password è calcolata a partire dell’ultima password utilizzata e poi sincronizzata con il server.

Infine ci sono le password generate su richiesta del server, ottenute da una richiesta – o challengeinviata dal server al client.
Il client che riceve l’input deve esaminarne il contenuto, calcolare una OTP e rispondere inviando una response.
Dato che il server è a conoscenza dell’algoritmo e del valore prestabilito, potrà verificare la password così generata.

Quali sono i principali vantaggi?

Perché è un vantaggio usare una one-time password al posto di una regolare password?

Innanzitutto bisogna considerare quanto siano pericolose e frequenti oggi le minacce online: gli attacchi informatici sono ormai all’ordine del giorno e a diventarne vittima non sono solo i grandi nomi del business, ma anche piccole aziende e privati.

Per questo è importante ridurre al minimo i rischi ed è fondamentale partire proprio dalla password: quante volte capita di dimenticarla? Quante volte capita di scriverla su un post-it o un bigliettino lasciato poi incustodito?
Ogni piccola dimenticanza è una pericolosa opportunità per i malintenzionati che possono così facilmente accedere a informazioni personali e dati sensibili.
Ma con le OTP il rischio che una password venga sottratta si riduce drasticamente, rendendo sicure le operazioni eseguite online.

L’alternativa sarebbe modificare con frequenza la propria password creando però dei disagi e rischiando che l’utente finisca per dimenticarsene.

Una one-time password è quindi una soluzione efficace e soprattutto pratica, oltre a essere quasi indecifrabile e impossibile da trafugare.

guida cyber security