Il codice OTP è un sistema molto sicuro utilizzato per le operazioni online, grazie alla password generata al momento e fruibile entro breve tempo. In questo articolo di Giorgio Perego vediamo cos’è, qual è il suo significato e come funziona.
Nell'articolo
Codice OTP: significato
Il codice OTP significa one Time Password. Nell’ambito della crittografia e della sicurezza informatica, il codice OTP è una password che è valida solo per una singola sessione di accesso o una transazione. Per questo l’OTP è anche detta password usa e getta. La OTP evita una serie di carenze associate all’uso della tradizionale password, nella maggior parte dei casi si riceve via SMS, a volte anche via e-mail.
One Time Password: cos’è e perché aumenta la sicurezza?
Poiché si tratta di una password momentanea, dalla durata di pochi secondi, diventa difficilissimo da intercettare. Infatti il codice, arrivando (nel caso del messaggio SMS) direttamente sul telefono, può essere visto ed utilizzato, entro il tempo prestabilito, solo da chi lo riceve. La sicurezza aumenta anche perché il codice viene automaticamente reso inutilizzabile dopo la sua convalida.
Codice OTP: come si genera?
La generazione del codice OTP dipende dalla casa utilizzatrice. Potrebbe essere generato da un server ed inviato via SMS al richiedente, oppure creato tramite apposito generatore (che sia un apparecchio o una app presente sul proprio device).
Codice One Time Password: quali algoritmi vengono utilizzati?
Nella maggior parte dei casi gli algoritmi utilizzati per la generazione di un codice OTP fanno riferimento a numeri casuali.
Il codice OPT può essere generato utilizzando gli algoritmi che:
- funzionano in base alla sincronizzazione temporale tra il client e server di autenticazione.
- da algoritmi in cui la password dipende da un challenge e da un contatore.
- da algoritmi in cui la password nuova viene generata in funzione di quella precedente.
Che livello di affidabilità ha il codice One Time Password?
L’affidabilità è senza alcun dubbio più elevata rispetto ad altre tecniche perché la password è disponibile solo all’utente che la richiede.
Facciamo un esempio, durante l’acquisto di un articolo con pagamento con carta di credito, per completare il pagamento ci viene richiesto di inserire i dati della carta; in caso di smarrimento prima del blocco della carta il truffatore può utilizzarla tranquillamente.
Gestendo il codice OTP, la procedura è diversa perché per completare il pagamento, oltre ai dati della carta di credito, si richiede anche l’inserimento del codice OTP, generato al momento e senza il quale non è possibile procedere all’operazione.
Come funziona l’invio di codici OTP via SMS?
L’utilizzo dell’OTP via SMS e dell’invio di password temporanee può variare in base al sistema, implica però di norma alcuni step fondamentali:
- Un utente tenta di accedere ad un sistema protetto.
- Il sistema genera una password temporanea che soddisfa i requisiti di sicurezza ritenuti necessari, “come la lunghezza, l’utilizzo di caratteri speciali o elementi di punteggiatura.
- Il codice OTP è inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente in fase di registrazione.
- L’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato.
- Il portale verifica la correttezza della password temporanea e concede all’utente di accedere in sicurezza al proprio account.
Codice OTP: la tecnologia
Un codice OTP è alla fine una password usa e getta formata da un codice alfanumerico che viene generato in modo automatico da appositi dispositivi, chiamati in gergo tecnico “token”, o inviato all’utente tramite un messaggio SMS, o tramite email o tramite l’utilizzo di applicazioni per smartphone.
Tutte le password usa e getta si generano applicando una funzione crittografica ad una serie di valori univoca, gli algoritmi OTP sono abbastanza diversi tra loro per evitare il rischio che un cyber criminale possa facilmente prevedere il codice OTP futuro dopo aver analizzato quello precedente.
Consulta anche i seguenti canali
Il canale youtube Byte Yok
Consulta i volumi di EPC Editore
Aggiornati con i Corsi dell’Istituto INFORMA
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.