Le password tra­di­zio­na­li hanno molti punti deboli. Questo vale persino per le password at­ten­ta­men­te se­le­zio­na­te e di fatto con­si­de­ra­te password sicure. Il problema prin­ci­pa­le è che, se una password viene uti­liz­za­ta re­go­lar­men­te, sussiste il pericolo che persone non au­to­riz­za­te possano im­pos­ses­sar­se­ne. Spesso questo accade at­tra­ver­so i co­sid­det­ti attacchi replay: la password viene in­ter­cet­ta­ta e in seguito uti­liz­za­ta da persone non au­to­riz­za­te per ef­fet­tua­re nuo­va­men­te l’au­ten­ti­ca­zio­ne.

La colpa non è sempre solo ascri­vi­bi­le alla di­sat­ten­zio­ne degli utenti: negli scorsi anni si sono ve­ri­fi­ca­ti vari casi in cui anche noti servizi online sono stati oggetto di attacchi in­for­ma­ti­ci che hanno con­se­gna­to i dati di migliaia di clienti nelle mani sbagliate.

In che modo è possibile pro­teg­ger­si da questo pericolo? Una pos­si­bi­li­tà è quella di mo­di­fi­ca­re la password a in­ter­val­li di tempo regolari e pos­si­bil­men­te brevi. Tuttavia, nessun utente vorrebbe dover cambiare le proprie password ogni giorno. Un’altra soluzione, cer­ta­men­te più semplice da rea­liz­za­re, è co­sti­tui­ta dalla co­sid­det­ta one-time password (password usa e getta).

Cer­ti­fi­ca­to SSL
Proteggi il tuo sito con un cer­ti­fi­ca­to SSL

Evita che venga vi­sua­liz­za­ta un'al­ler­ta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crit­to­gra­fa­to tramite SSL.

Cos’è una one-time password?

Una one-time password è una password che può essere uti­liz­za­ta un’unica volta e che, dopo l’utilizzo, perde validità. La tra­du­zio­ne italiana del termine è quindi password “usa e getta”. Spesso si trova anche solo l’ab­bre­via­zio­ne OTP oppure, come termine derivato, codice OTP.

La password usa e getta è ge­ne­ral­men­te co­sti­tui­ta da un codice OTP al­fa­nu­me­ri­co (lettere e numeri) e viene generata ex novo ogni volta che si esegue una procedura di accesso. Dopo che l’utente ha eseguito l’accesso con una one-time password, questa perde la propria validità e non può più essere uti­liz­za­ta all’accesso suc­ces­si­vo.

Le password usa e getta vengono spesso uti­liz­za­te nell’ambito di un’au­ten­ti­ca­zio­ne a due fattori, ad esempio nell’online banking, tuttavia sempre più spesso anche nelle aziende. A questo scopo l’utente immette per prima cosa i normali dati di accesso. Suc­ces­si­va­men­te, uti­liz­zan­do ad esempio un ge­ne­ra­to­re di codice, genera una password usa e getta dinamica anch’essa ne­ces­sa­ria per l’au­ten­ti­ca­zio­ne.

Questo passaggio ag­giun­ti­vo permette di innalzare in modo si­gni­fi­ca­ti­vo il livello di sicurezza: anche se, durante la procedura di accesso, un soggetto non au­to­riz­za­to riesce ad accedere alla password normale, gli mancherà comunque la password usa e getta dinamica, poiché questa viene generata solo all’oc­cor­ren­za. Per questo sempre più servizi online stanno passando all’utilizzo dell’au­ten­ti­ca­zio­ne a due fattori, in par­ti­co­la­re se in gioco ci sono dati sensibili.

N.B.

Non con­fon­de­te l’ab­bre­via­zio­ne OTP di one-time password con l’ab­bre­via­zio­ne OTP che sta per one-time pad. Quest’ultimo termine indica infatti un’altra procedura di codifica che, pur molto sicura, è molto più complessa da rea­liz­za­re rispetto a un processo one-time password.

Come funziona una password OTP?

Per poter eseguire l’accesso con una one-time password, sia l’utente sia il sistema in cui viene uti­liz­za­ta devono conoscere la password. Affinché questo avvenga, esistono due metodi:

Elenco di password

Un elenco di password è il modo più semplice per uti­liz­za­re le password usa e getta. Su un elenco pre­sta­bi­li­to si trovano diverse password che sono note sia all’utente sia al sistema. Quando una di queste password usa e getta viene uti­liz­za­ta, l’utente deve sem­pli­ce­men­te can­cel­lar­la dall’elenco.

È evidente che lo svan­tag­gio di questa procedura è che, se l’utente perde l’elenco, c’è il rischio che terzi non au­to­riz­za­ti abbiano accesso alle password. Anche se questi elenchi di one-time password vengono talvolta ancora uti­liz­za­ti nell’online banking, sempre più fornitori stanno passando a password OTP generate di­na­mi­ca­men­te per evitare questo in­con­ve­nien­te.

Password generate di­na­mi­ca­men­te

Le password usa e getta generate di­na­mi­ca­men­te rap­pre­sen­ta­no oggi il metodo più uti­liz­za­to. Molto diffusi sono ad esempio i ge­ne­ra­to­ri di password hardware: piccoli di­spo­si­ti­vi rea­liz­za­ti sotto forma di por­ta­chia­vi o scatolina che, all’oc­cor­ren­za, generano una password.

Questi di­spo­si­ti­vi vengono de­no­mi­na­ti anche token OTP. Ciò che li accomuna è la presenza di un display e la capacità di generare password usa e getta a ogni nuova procedura di accesso sem­pli­ce­men­te premendo un pulsante. Le password così generate vengono spesso immesse in as­so­cia­zio­ne ad altre ca­rat­te­ri­sti­che di au­ten­ti­ca­zio­ne, come ad esempio codici PIN o ID utente.

Per generare una password usa e getta dinamica viene uti­liz­za­to uno speciale algoritmo che, se ne­ces­sa­rio, genera la password. In base al metodo di ge­ne­ra­zio­ne, la password può essere di tre tipi:

  • Password basata sul tempo
  • Password basata su evento
  • Password generata su richiesta del server

Password basata sul tempo

Nell’ambito di questo processo, il ge­ne­ra­to­re di password (client) e il server generano password abbinate uti­liz­zan­do lo stesso algoritmo. Questo tipo di password, detta Time-based One-Time Password (TOTP) è pertanto nota sul lato client e sul lato server ed è valida per un de­ter­mi­na­to lasso di tempo, so­li­ta­men­te da uno a quindici minuti.

Password basata su evento

Le password usa e getta basate su evento vengono generate at­tra­ver­so l’ese­cu­zio­ne di una de­ter­mi­na­ta azione, ad esempio premendo un tasto sul ge­ne­ra­to­re token. Come nel processo basato sul tempo, anche in questo caso sul lato server e sul lato client lavora lo stesso algoritmo. La password viene calcolata sulla base dell’ultima password valida e può così essere sin­cro­niz­za­ta con il server.

Richiesta del server (mec­ca­ni­smo challenge-response)

Con questo metodo, il server invia una richiesta (challenge) alla quale il client deve ri­spon­de­re (response). Il client riceve un de­ter­mi­na­to valore dal server e, con questo, calcola la password usa e getta. Poiché il server conosce l’algoritmo e il valore pre­sta­bi­li­to, è in grado di ve­ri­fi­ca­re la password generata.

Quando è van­tag­gio­so uti­liz­za­re le one-time password?

L’utilizzo delle password usa e getta viene con­si­glia­to per tutti i servizi online e i siti web che trattano dati par­ti­co­lar­men­te sensibili e im­por­tan­ti. Tra questi figurano:

  • Online banking
  • Servizi fi­nan­zia­ri come depositi titoli online o borse per crip­to­va­lu­te
  • Dati aziendali sensibili
  • Canali di co­mu­ni­ca­zio­ne riservati

La password usa e getta non è ne­ces­sa­ria per tutti i siti web. In generale, tuttavia, l’utente dovrebbe ac­cer­tar­si che le password siano sicure, anche se vengono uti­liz­za­te più volte. Secondo alcuni studi, no­no­stan­te l’aumento della cri­mi­na­li­tà in­for­ma­ti­ca, molti utenti sono ancora troppo poco con­sa­pe­vo­li dell’im­por­tan­za della sicurezza.

Consiglio

Oltre al processo OTP esistono altri metodi in­te­res­san­ti per ottenere una maggiore sicurezza e che, in futuro, po­treb­be­ro ottenere grande at­ten­zio­ne. Tra questi citiamo ad esempio il nuovo standard WebAuthn, che promette di rendere to­tal­men­te superflua la ge­ne­ra­zio­ne di password.

Vantaggi e svantaggi delle one-time password

Vantaggi Svantaggi
Difficili da decifrare medianti attacchi replay Ne­ces­sa­ria tec­no­lo­gia ag­giun­ti­va
Nessun pericolo che una password trafugata possa essere uti­liz­za­ta per altri siti e/o servizi I token di sicurezza possono subire guasti o rompersi
Maggiore sicurezza per l’utente Processo di ge­ne­ra­zio­ne delle password OTP talvolta complesso
Acquista e registra il tuo dominio con il provider n°1 in Europa
  • Domain Connect gratuito per una con­fi­gu­ra­zio­ne facile del DNS
  • Cer­ti­fi­ca­to SSL Wildcard gratuito
  • Pro­te­zio­ne privacy inclusa
Vai al menu prin­ci­pa­le