In che modo si distingue una transazione sicura da una che non lo è?
Il processo di autenticazione sicuro è il primo step che ci permette di accedere in maniera inequivocabile e garantita ad un servizio: noi e solo noi possiamo sfruttarlo, senza il timore che soggetti indesiderati possano truffarci.
Quante volte vi siete sentiti dire che per accedere ad un servizio online (fare il login) avreste dovuto ricevere un codice OTP temporaneo sul vostro telefono?
Se avete sentito parlare di doppia autenticazione, codice a tempo e one time password ma non sapete di che cosa si tratta, siete arrivati sull’articolo giusto.
In questo breve contenuto sveleremo tutte le particolarità dei codici OTP, perché vengono utilizzati da molte piattaforme e perché, lato cybersecurity è importante che vengano previsti.
OTP: tutto quello che devi sapere
Ecco l’indice degli argomenti
Consigliato tra le best practice per l’autenticazione ad un servizio online c’è proprio l’invio di password temporanee o one time password o codici OTP. Tanti nomi ma un unico vero significato.
Che cosa significa otp?
Il significato dell’acronimo inglese è one time password.
Si tratta di un ulteriore livello di sicurezza per l’accesso agli account utente. Il codice OTP è un acronimo che riferisce ad una password usa e getta composta da 6 caratteri alfanumerici o solamente numerici. Viene propriamente definita password temporanea perché si tratta di un codice numerico che viene inviato all’utente solitamente via e-mail o via SMS sullo smartphone, o ancora tramite un’applicazione apposita e ha una validità limitata nel tempo.
I codici OTP sono disponibili per un solo accesso o una sola transazione e, in genere, non sono valide per più di 60 secondi. Si differenziano in questo dalle password statiche ovvero, dalle password che si utilizziamo normalmente per accedere ad un servizio ma che restano invariate nel tempo (si spera non troppo a lungo). La caratteristica della durata limitata nel tempo, rende le password a tempo (o codice OTP) sicure e quasi per nulla intercettabili dagli hacker.
Non esiste una specifica categoria di servizi nei quali implementare la soluzione di autenticazione tramite codice OTP. Normalmente, il codice OTP viene previsto per:
- registrazioni e autenticazioni
- per accedere ai servizi web e-mail
- approvare transazioni o acquisti su portali online
- accedere a profili utenti
- completare il processo di firma digitale.
In realtà quasi tutti i servizi online che richiedono un autenticazione lo stanno inserendo.
Inizialmente, questo secondo passaggio per l’autenticazione viene introdotto da Google e Facebook, ma ad oggi, viene implementato da molti altri e considerato uno standard di sicurezza necessario per accedere in modo sicuro ad applicazioni web-based e siti web. Pensiamo banalmente che oggi è previsto anche per l’accesso a Instagram. Considerate che il codice OTP può essere utilizzato da solo o in accoppiata con un altro fattore (inserimento di nome utente e password, ad esempio), costituendo di fatto il processo di autenticazione a due fattori.
I servizi che prevedono l’utilizzo di un codice OTP per accedere ad un servizio o per completare un’operazione, normalmente richiedono sempre all’utente un recapito:
- numero di cellulare
- accesso ad un’applicazione di invio codice OTP (Google Authenticator o Microsoft Authenticator, ad esempio)
Una volta scelto il canale attraverso il quale inviarvi il codice, per qualsiasi azione per la quale è previsto l’utilizzo del codice OTP, l’applicazione o il sito web provvederà ad inviarvene uno. L’utente che riceverà un codice lo dovrà poi inserire in un apposito campo e il sistema ne verificherà l’effettiva validità.
Una volta che avrete utilizzato il codice OTP, la sua validità terminerà una volta per tutte e non potrete più utilizzarlo per futuri accessi.
I codici OTP possono essere inviati all’utente mediante diverse soluzioni:
Via smartphone
In questo cado la password one time viene inviata via SMS. Oggi questo metodo viene sconsigliato da molti organi che si occupano di sicurezza delle informazioni poiché i messaggi testuali possono essere intercettati e decifrati. Inoltre, oggi gli hacker sempre più spesso si affidano alle tecniche di smishing per trarre in inganno gli utenti.
Tramite applicazione mobile
In questo caso invece, il codice OTP arriva all’utente tramite un applicazione sullo smartphone (o su tablet). Esistono app interamente dedicate a questa funzione. Si tratta di soluzioni decisamente più sicure e meno vulnerabili rispetto agli SMS. La soluzione tramite app non richiede alcuna connessione a internet, pertanto è possibile sfruttarla in qualunque momento e luogo: purché la persona abbia a disposizione un dispositivo mobile funzionante.
Tramite e-mail
La password OTP può anche essere inviata via e-mail: tuttavia, si tratta di una soluzione non particolarmente sicura se paragonata all’utilizzo dell’applicazione. Pensiamo sempre che al giorno d’oggi, gli indirizzi e-mail possono essere violati.
Tramite dispositivi token
Si tratta di dispositivi a forma di chiavetta e che vengono chiamati appunto token e che utilizzano un particolare algoritmo per inviare all’utente il codice a tempo. L’inconveniente legato a questi dispositivi è che spesso vengono smarriti dal proprietari o possono andare persi o danneggiati. Sono dispositivi inoltre, che funzionano a batterie e quindi dalla durata limitata nel tempo.
Soluzione cartacea
In molti paesi, soprattutto per i portali bancari, all’utente viene fornito un elenco di codici OTP stampati su carta (o su tessera). Ogni volta che l’utente deve completare una transazione o effettuare un’operazione qualsiasi all’interno del portale home banking, viene richiesto di inserire uno dei codici.
Al netto dei metodi disponibili, la soluzione di codici OTP via applicazioni dedicate sembra essere ad oggi, la miglior scelta.
I benefici per la sicurezza informatica
L’implementazione di un ulteriore step oltre al classico inserimento di nome utente e password per l’accesso o l’approvazione di un’operazione su sito web, gioca un ruolo importante sul fronte della sicurezza informatica. I vantaggi che derivano dall’utilizzo dei codici OTP su siti web e applicazioni web-based sono i seguenti:
- Accesso sicuro e non intercettabile: il codice OTP, come dicevamo anche nei paragrafi precedenti garantisce l’accesso autentico all’utente. Infatti, delegando al proprio smartphone o al proprio indirizzo e-mail il codice si ha la certezza che a fare l’accesso sia proprio lui. Nessuno può intercedere o intercettare la password temporanea.
- Protezione dati: l’inserimento di un codice OTP garantisce maggiore protezione per i dati che altrimenti sarebbero accessibili a terze parti non desiderate.
- Monitoraggio degli accessi: naturalmente, grazie all’implementazione di un sistema OTP, è possibile accorgersi di ogni eventuale tentato accesso grazie al sistema di statistiche e notifiche che vengono fornite all’utente in ogni momento. Se l’utente riceve un messaggio che contiene un codice OTP e in quel momento non sta effettuando accesso a nessun servizio, significa che qualcuno sta cercando di
Onorato Informatica
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
