News

Cos’è una password OTP e come funziona

1 Luglio 2021

Effettuare un pagamento con PagaRapido è semplice. Clicca sul bottone “Paga ora” e seleziona una tipologia di pagamento dall’elenco che trovi nella pagina. Inquadra il qrCode che trovi sull’avviso di pagamento (in alternativa puoi inserire i dati manualmente). Utilizza la tua carta come mezzo di pagamento e completa l’operazione inserendo il codice CVV2 che trovi sul retro della carta e la password OTP. Ma cos’è una password OTP? Proviamo a capirne di più

Cos’è una password OTP

Una password monouso (OTP) è una stringa di caratteri numerici o alfanumerici generata automaticamente che autentica l’utente per una singola transazione o sessione di accesso. Una password OTP è più sicura di una password statica, in particolare una password creata dall’utente, che può essere debole e/o riutilizzata su più account. Le OTP possono sostituire le informazioni di accesso per l’autenticazione o possono essere utilizzate in aggiunta ad esse per aggiungere un altro livello di sicurezza.

token di sicurezza OTP sono smart card basate su microprocessore o portachiavi tascabili che producono un codice numerico o alfanumerico per autenticare l’accesso al sistema o alla transazione. Questo codice segreto cambia ogni 30 o 60 secondi, a seconda di come è configurato il token. Le app per dispositivi mobili, come Google Authenticator, si basano sul dispositivo token e sul PIN per generare la password monouso per la verifica in due passaggi. I token di sicurezza OTP possono essere implementati utilizzando hardware, software o su richiesta. A differenza delle password tradizionali che rimangono statiche o scadono ogni 30-60 giorni, la password monouso viene utilizzata per una transazione o sessione di accesso.

Come funziona una password monouso

Nei metodi di autenticazione basati su OTP, l’app OTP dell’utente e il server di autenticazione si basano su segreti condivisi. I valori per le password monouso vengono generati utilizzando l’algoritmo Hashed Message Authentication Code (HMAC) e un fattore mobile, come le informazioni basate sul tempo ( TOTP ) o un contatore di eventi (HOTP). I valori OTP hanno timestamp minuti o secondi per una maggiore sicurezza. La password monouso può essere consegnata a un utente attraverso diversi canali, tra cui un messaggio di testo basato su SMS, un’e-mail o un’applicazione dedicata sull’endpoint.

I professionisti della sicurezza sono da tempo preoccupati che lo spoofing dei messaggi SMS e gli attacchi man-in-the-middle (MITM) possano essere utilizzati per violare i sistemi 2FA che si basano su password monouso. Tuttavia, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha annunciato l’intenzione di deprecare l’uso di SMS per 2FA e password monouso, poiché il metodo è vulnerabile a un assortimento di attacchi che potrebbero compromettere tali password e codici. Di conseguenza, le aziende che considerano l’implementazione di password monouso dovrebbero esplorare altri metodi di consegna oltre agli SMS.

Vantaggi di una password monouso

La password monouso evita le insidie ​​comuni che gli amministratori IT e i responsabili della sicurezza devono affrontare con la sicurezza delle password. Non devono preoccuparsi di regole di composizione, password note errate e deboli, condivisione di credenziali o riutilizzo della stessa password su più account e sistemi. Un altro vantaggio delle password monouso è che diventano non valide in pochi minuti, il che impedisce agli aggressori di ottenere i codici segreti e di riutilizzarli.