Italiano
  • OTP
  • TOTP
  • MFA
  • HOTP
  • one-time password

Cos'è la password monouso (OTP)?

Cos'è l'OTP? Qual è la differenza tra OTP e TOTP? Come funziona l'OTP? Questo articolo spiega i concetti base di OTP e perché è più preferita rispetto alle password statiche.

Simeng
Simeng
Developer

OTP significa One-Time Password, anche conosciuta come pin monouso, passcode monouso o password dinamica. È una password temporanea unica, generata automaticamente e usata per una singola sessione di autenticazione o transazione.

A differenza delle password statiche tradizionali, le OTP cambiano ogni volta che vengono utilizzate e scadono dopo un breve periodo di tempo. Questo le rende un metodo altamente sicuro di autenticazione, poiché sono molto più difficili da rubare e riutilizzare per gli attaccanti.

Le OTP sono ampiamente adottate in varie applicazioni di sicurezza, tra cui online banking, e-commerce e protezione dell'accesso a dati o sistemi sensibili. Sono anche comunemente utilizzate come secondo fattore nell'autenticazione a più fattori (MFA) per fornire un ulteriore livello di sicurezza. Combinando qualcosa che l'utente conosce (ad esempio, una password) con qualcosa che possiede (ad esempio, un dispositivo mobile), le OTP sono diventate uno strumento essenziale nei sistemi di autenticazione moderni.

Come funziona l'OTP?

Esistono diversi tipi di OTP, ognuno generato e consegnato in modo diverso per diversi casi d'uso. Alcuni metodi comuni di OTP includono:

SMS OTP / Email OTP

SMS OTP o Email OTP è una delle forme più semplici di OTP, dove un passcode unico viene generato da un server e consegnato in modo sicuro all'utente tramite SMS o email. L'utente inserisce quindi questo passcode per autenticarsi.

Come funziona:

  • L'utente richiede un OTP dal server.
  • Il server genera un codice numerico o alfanumerico casuale e lo invia all'utente tramite SMS o email.
  • L'utente recupera l'OTP dalla sua SMS o dalla casella di posta elettronica e lo inserisce nell'applicazione.
  • Il server verifica il codice con i suoi registri e concede l'accesso se il codice è valido.

Misure di sicurezza:

  • L'OTP è valido solo per un breve periodo di tempo (ad esempio 5 minuti) per minimizzare il rischio di intercettazione e attacchi di ripetizione.
  • Il canale di consegna SMS si basa sulle reti cellulari, rendendolo suscettibile di intercettazioni tramite attacchi di SIM-swapping o altre vulnerabilità nell'infrastruttura delle telecomunicazioni.
  • Le OTP basate su email sono sicure solo quanto l'account email dell'utente. Se l'account email è compromesso, l'OTP può essere intercettato.

Casi d'uso:

Gli SMS e le Email OTP sono comunemente utilizzati in applicazioni rivolte ai consumatori, come il banking online, l'e-commerce e le piattaforme di social media. Non solo sono più sicuri delle password statiche, ma forniscono anche un modo conveniente per gli utenti di autenticarsi senza memorizzare password complesse e domande di sicurezza.

Dato che la maggior parte degli utenti ha accesso costante a un telefono mobile o a un account email in ogni momento, gli SMS e le Email OTP sono diventati una scelta preferita per l'autenticazione degli utenti, la verifica della proprietà dell'indirizzo email o del numero di telefono e il recupero della password.

OTP basata su HMAC (HOTP)

L'OTP basata su HMAC, definita in RFC 4226, è un algoritmo OTP sincronizzato nel tempo che genera una sequenza di passcode monouso basati su una chiave segreta e un valore di contatore. Ogni OTP è derivata criptohacking la chiave segreta e il valore del contatore utilizzando una funzione di hash crittografica (ad esempio SHA-1, SHA-256).

Come funziona:

  1. Segreto: HOTP richiede una chiave segreta condivisa tra il server e il client.

  2. Contatore: Il server e il client mantengono un valore di contatore che incrementa con ogni generazione di OTP.

  3. Il client calcola il hash HMAC-SHA1 (o di altre funzioni di hash) del valore del contatore (C) utilizzando la chiave segreta condivisa (K).

    • H = HMAC-SHA1(K, C)

  4. Il valore dell'hash viene troncato a un codice di 6 o 8 cifre (a seconda dell'implementazione) per generare l'OTP.

    • OTP = Truncate(H)mod 10^d

  5. Il server tiene traccia del valore del contatore e verifica l'OTP in arrivo calcolando il valore dell'hash utilizzando lo stesso valore di contatore e chiave segreta. (Se c'è una leggera discrepanza, il server può consentire una piccola finestra di valori del contatore, ad esempio uno o due incrementi, per tenere conto di problemi di sincronizzazione).

Misure di sicurezza:

  • HOTP garantisce che ogni password sia unica e valida finché non viene utilizzata, poiché il contatore viene incrementato dopo ogni autenticazione riuscita.
  • La chiave segreta condivisa non viene mai trasmessa attraverso la rete, riducendo il rischio di intercettazione.
  • Il valore del contatore è sincronizzato tra il server e il client per prevenire attacchi di ripetizione.

Casi d'uso:

HOTP è comunemente utilizzato in token hardware e sistemi legacy in cui i vincoli temporali potrebbero essere difficili da implementare. Per le applicazioni moderne, TOTP è più popolare grazie alla sua natura basata sul tempo e alla facilità di implementazione.

OTP basata sul tempo (TOTP)

L'OTP basata sul tempo, definita in RFC 6238, è un algoritmo che genera una sequenza di passcode monouso basati sull'ora corrente e su una chiave segreta condivisa. TOTP è un'estensione più avanzata di HOTP che utilizza un timestamp anziché un valore di contatore per generare OTP. Dona una validità temporale alle OTP, rendendole più sicure di HOTP.

Come funziona:

  1. Segreto: Come HOTP, TOTP richiede una chiave segreta condivisa tra il server e il client.

  2. Passo temporale: La differenza chiave tra HOTP e TOTP è che TOTP utilizza un valore di passo temporale (tipicamente 30 secondi) anziché un valore di contatore.

  3. Il client calcola l'hash HMAC-SHA1 dell'ora corrente divisa per il passo temporale utilizzando la chiave segreta condivisa.

    • H(Time) = HMAC-SHA1(K, Time/TimeStep)

  4. Il valore dell'hash viene troncato a un codice di 6 o 8 cifre per generare l'OTP.

    • OTP(Time) = Truncate(H(Time))mod 10^d

  5. OTP dinamico: Poiché la generazione OTP è basata sul tempo, l'OTP cambia ogni 30 secondi, fornendo un livello di sicurezza superiore.

  6. Il server verifica l'OTP in arrivo calcolando il valore dell'hash utilizzando l'ora corrente e la chiave segreta. Finché l'OTP è all'interno della finestra temporale valida, il server accetta l'autenticazione.

Misure di sicurezza:

  • L'affidamento sulla sincronizzazione temporale assicura che un'OTP sia valida solo brevemente, riducendo il rischio di intercettazione o riutilizzo.
  • La natura basata sul tempo di TOTP la rende più sicura di HOTP, poiché è meno suscettibile agli attacchi di ripetizione. Anche se un attaccante ottiene un'OTP precedentemente utilizzata, diventa invalida una volta che la finestra temporale scade.
  • Come HOTP, la chiave segreta condivisa non viene mai trasmessa attraverso la rete, riducendo il rischio di intercettazione.

Casi d'uso:

TOTP è ampiamente utilizzato in applicazioni di autenticazione software come Google Authenticator, Authy e Microsoft Authenticator. Queste applicazioni generano OTP temporali per gli utenti per autenticarsi con vari servizi online, includ, i social media, i servizi cloud e le istituzioni finanziarie.

Le applicazioni di autenticazione TOTP sono diventate la forma di OTP più popolare per l'MFA, in quanto offrono un equilibrio tra sicurezza e usabilità. Gli utenti possono generare OTP sui loro dispositivi mobili senza affidarsi alla consegna tramite SMS o email, rendendola un metodo di autenticazione più sicuro e conveniente.

Vantaggi delle OTP

  1. Sicurezza avanzata

    • Le OTP mitigano i rischi associati alle password rubate o compromesse.
    • Le OTP sono sensibili al tempo e scadono rapidamente, riducendo la finestra di opportunità per gli attaccanti di intercettarle e riutilizzarle.
    • La loro natura monouso li rende più sicuri delle password statiche, poiché ogni OTP è unica e non può essere riutilizzata.

  2. Facilità d'uso

    • Le OTP sono facili da generare e utilizzare, richiedendo un'interazione minima da parte dell'utente.
    • Ampiamente supportate da varie piattaforme e servizi, come TOTP, richiedono una configurazione minima e possono sfruttare un'ampia gamma di applicazioni di autenticazione esistenti.

  3. Flessibilità

    • Le OTP possono essere consegnate tramite più canali, inclusi SMS, email, e applicazioni di autenticazione, fornendo flessibilità agli utenti per scegliere il loro metodo preferito.

  4. Conformità con le normative

    • Le OTP sono conformi agli standard e alle normative del settore, come PCI DSS, GDPR e HIPAA, che richiedono meccanismi di autenticazione robusta per proteggere i dati sensibili.

Perché l'OTP è preferita rispetto alle password statiche?

L'OTP è un metodo sicuro e conveniente di autenticazione che è diventato uno strumento essenziale nelle pratiche di sicurezza moderne. Fornendo un passcode unico e sensibile al tempo per ogni sessione di autenticazione, le OTP offrono un livello di sicurezza superiore rispetto alle password statiche tradizionali. Che vengano consegnate tramite SMS, email o applicazioni di autenticazione, le OTP sono ampiamente adottate in varie applicazioni per proteggere i dati sensibili e assicurare l'accesso ai servizi online. Con l'evolversi dello scenario delle minacce, le OTP continuano a svolgere un ruolo cruciale nella salvaguardia degli account utente e nella prevenzione dell'accesso non autorizzato a informazioni personali e aziendali.

Prova Logto Cloud Oggi