All’aumento del tempo e delle attività svolte connessi ad Internet corrisponde anche una crescita dei pericoli legati alla sicurezza informatica, soprattutto quando si ha a che fare con accessi a portali che contengono informazioni riservate o dati di pagamento.
Uno dei sistemi di autenticazione più utilizzati per contrastare la diffusione di queste informazioni consiste nell’identificazione tramite codice OTP (One Time Password).
Grazie a questo codice temporaneo è possibile effettuare acquisti o operazioni di home banking in sicurezza, senza cadere in frodi o connessioni non autorizzate ai proprio account.
Scopriamo cos’è il codice OTP e perché è così importante ed efficace nell’ambito delle autenticazioni su vari siti.
Cos’è il codice OTP?
L’acronimo di OTP è One Time Password e definisce questo strumento come una password usa e getta da usare una sola volta composta da un codice alfanumerico generato in automatico da un algoritmo prima di essere inviata all’utente tramite SMS o altro mezzo (e-mail, SMS, app su smartphone).
Essendo l’OTP utilizzabile soltanto per un unico accesso, è più sicuro della password statica perché non dà luogo ai replay-attack, ovvero gli attacchi con replica perpetrati ai danni di utenti inconsapevoli che, accedendo ad un sistema con lo stesso password, una volta intercettato dai malintenzionati, può essere riutilizzato abusivamente altrove simulando l’identità dell’utente.
Con l’OTP questo comportamento fraudolento non è possibile perché non è più valido dopo il primo utilizzo e molto spesso scade dopo pochi secondi.
Inoltre, a differenza della password statica, l’OTP non può essere memorizzato e necessita di un ulteriore dispositivo, come uno smartphone o un token fisico, per poter funzionare.
Il codice OTP può essere utilizzato come:
- unico fattore di autenticazione;
- autenticazione a due fattori (Two Factor Authentication, 2FA), cioè associato, ad esempio, ad una password dell’utente o al PIN della carta di credito e, per via della sua complessità, ancora più sicuro.
Come viene generato un codice OTP?
Il codice One-Time Password usa e getta può essere creato in automatico da dispositivi dedicati, smart card con software token, oppure inviato all’utente tramite SMS, email o app di autenticazione del cellulare.
In particolare, esistono tre tipi di algoritmi che vengono utilizzati per generare gli OTP:
- Algoritmi che agiscono tramite la sincronizzazione temporale tra server di autenticazione e client che fornisce la password, sono validi solo per un breve periodo di tempo e vengono generati da token;
- Algoritmi matematici che generano una nuova password in base alla password precedente;
- Algoritmi in cui la password è basata su un numero casuale scelto dal server di autenticazione e/o su un contatore.
Quali sono gli usi per i codici OTP?
Il sistema di autenticazione dell’utente tramite OTP è molto diffuso in vari ambiti grazie alla semplicità del suo utilizzo e la capacità di evitare rischi di intrusioni indesiderate, tra cui siti di e-commerce o che prevedono l’accesso a dati sensibili sia di privati che di aziende.
Per quel che riguarda gli acquisti online, ad esempio, l’OTP consente di non finalizzare l’ordine senza l’autenticazione autorizzata dall’inserimento del codice ricevuto via SMS.
Inoltre, gli OTP sono modalità particolarmente indicate per la firma digitale perché, grazie ad essi, si evita di utilizzare per l’accesso strumenti supplementari come token o smart card.
Tra gli accessi più comuni che avvengono online attraverso il codice One Time Password troviamo:
- siti della pubblica amministrazione;
- operazioni bancarie (home banking);
- accesso ai social network;
- registrazione di nuovi account;
- verifica dell’identità;
- acquisti online.
Quali sono i vantaggi del codice OTP?
Considerando quanto scritto finora, gli OTP danno luogo a numerosi benefici:
- essendo password dinamiche, non permettono agli hacker di memorizzarle né prevederle;
- hanno durata limitata, lasciando perciò troppo poco tempo ai cybercriminali per rubarli e accedere senza permesso;
- valgono per un solo utilizzo, quindi già ad un secondo tentativo risulterebbe impossibile accedere al sistema che adotta l’OTP;
- offrono maggiore sicurezza rispetto alla semplice autenticazione con username e password;
- possono essere utilizzati per diversi portali e servizi online.
L’unico svantaggio minore che può derivare dagli OTP riguarda essenzialmente il fatto che, a causa della loro durata limitata, se non si ricordano e manca la connessione, diventa necessario generare un nuovo codice per effettuare un accesso.
Si può quindi concludere che gli OTP sono sistemi di autenticazione non vulnerabili agli attacchi e in grado di garantire una resistenza efficace contro i sempre più frequenti sistemi di violazione digitale.
In che modo KRUK Italia utilizza il codice OTP?
KRUK Italia offre il servizio e-signature, un metodo altamente sicuro e innovativo basato sulla autenticazione OTP per gestire le fasi burocratiche del rapporto con KRUK Italia. Inoltre, l’e-signature è anche disponibile sulla piattaforma e-KRUK per i clienti che preferiscono gestire autonomamente le proprie pratiche.
Il sistema di autenticazione OTP è stato implementato da oltre due anni per garantire il massimo livello di sicurezza di tutti i dati degli utenti utilizzando sistemi crittografati
nelle connessioni univoche dalla firma al firmatario.
Lo sapevi che…
Se al giorno d’oggi utilizzare un metodo di autenticazione sicuro come l’OTP può limitare di molto i danni provocati dai furti e gli attacchi informatici, sono sempre di più le piattaforme che si sono mosse per garantire ai propri utenti una navigazione ed una condivisione di dati protetta.