Cos’è e come funziona il codice OTP

Che cos’è un codice OTP?

In un mondo sempre più tecnologico e connesso, l’accesso e l’identificazione tramite codice OTP è uno dei metodi più diffusi nei processi di registrazione e autenticazione poiché permette di effettuare acquisti in sicurezza e utilizzare strumenti come la firma digitale remota.

Che cos’è il codice OTP? L’acronimo OTP deriva dal termine inglese One-Time Password che in italiano significa “password valida una sola volta”. Il codice OTP è quindi una password usa e getta, valida solo per una singola sessione di accesso o una transazione, che garantisce elevati standard di sicurezza e risolve i problemi legati all’utilizzo della tradizionale password.

Un codice OTP, infatti, a differenza di una password statica, non è vulnerabile ai replay-attack (attacchi con replica), ossia quelle azioni compiute da singoli individui o organizzazione ai danni di sistemi informatici, infrastrutture, reti di calcolatori e/o dispositivi elettronici allo scopo di impossessarsi di una credenziale di autenticazione, comunicata da un host ad un altro, per utilizzarla successivamente simulando l’identità dell’utente.

Ciò significa che se un potenziale intruso riesce ad intercettare una password usa e getta – già utilizzata per accedere a un servizio o per eseguire una transazione – non potrà riutilizzarla perché la stessa non sarà più valida.

Il codice OTP può essere utilizzato come unico fattore di autenticazione o associato ad altri elementi (ad esempio: password dell’utente o PIN della carta di credito), in caso di autenticazione a due fattori, conosciuta anche con il nome di Two Factor Authentication (2FA), un protocollo di sicurezza che si basa sull’utilizzo congiunto di due metodi di autenticazione al fine di prevenire la violazione dei dati sensibili.

Va inoltre ricordato che una password usa e getta, diversamente da una statica, non può essere memorizzata e richiede quindi una tecnologia supplementare, come uno smartphone o un token fisico, per poter essere utilizzata.

La tecnologia dietro il codice OTP: come funzionano le One-Time Password?

Un codice OTP è una password usa e getta formata da un codice alfanumerico che viene generato in automatico da appositi dispositivi, detti token, oppure inviato all’utente tramite SMS, email o applicazioni per smartphone.

Ogni password usa e getta viene generata applicando una funzione crittografica ad una serie di valori univoca, tuttavia gli algoritmi OTP sono abbastanza diversi tra loro per evitare il rischio che un hacker possa facilmente prevedere la OTP futura dopo aver analizzato quelle precedenti.

Ecco quali sono i diversi approcci per la generazione delle One-Time Password:

• Algoritmi basati sulla sincronizzazione temporale tra server di autenticazione e client che fornisce la password. In questo caso le OTP sono valide solo per un breve periodo di tempo e il valore da cui viene generata la OTP è l’ora corrente. In genere, un codice OTP basato sulla sincronizzazione temporale è collegato a un componente hardware chiamato token. Il token è un dispositivo personale di sicurezza dotato di display e dal design simile a una tradizionale chiavetta USB;
• Algoritmi matematici che generano una nuova password in base alla password precedente. Il valore da cui viene generata la OTP è un numero all’interno di una sequenza predefinita;
• Algoritmi matematici dove la password è basata su una challenge (per esempio, un numero casuale scelto dal server di autenticazione o dai dettagli della transazione) e/o su un contatore.

Dispositivo con display e applicazione per codice OTP: le soluzioni firmate Namirial

Namirial, l’azienda IT che fornisce servizi fiduciari digitali, come firme elettroniche, e-mail certificate, fatturazione elettronica e archiviazione digitale a lungo termine, propone due soluzioni per richiedere e ottenere il codice OTP:

1. Dispositivo OTP con display: l’OTP con Display è un dispositivo sicuro, semplice e pratico per la generazione del codice OTP. Compatibile con App di Firma Remota Namirial per Smartphone e Tablet (iOS/Android) e con FirmaCerta per Win/Mac, il dispositivo non richiede porte USB ed è intuitivo e facile da utilizzare da qualsiasi postazione remota: basta premere l’apposito tasto ed il codice verrà visualizzato nello schermo LCD. Ha un costo di 25,00 € + IVA;
2. Namirial OTP: è l’applicazione disponibile per dispositivi Android e iOS che permette di accedere in maniera sicura gli account gestiti da Namirial, ad esempio per la gestione delle transazioni digitali, SPID, firma elettronica e schema eID riconosciuto da eIDAS. L’applicazione, che genera un codice di 6 cifre sul proprio smartphone o tablet da usare come secondo step di autenticazione quando si effettua il login, è stata approvata con successo come credenziale all’interno dello schema eID italiano sotto l’articolo 9 di eIDAS. Se non si possiede un dispositivo in grado di supportare il download dell’app e possibile richiedere all’assistenza Namirial l’attivazione gratuita del servizio OTP via SMS.

Con il recapito elettronico certificato piena evidenza anche alla comunicazione aziendale

Oltre a garantire un processo di autenticazione sicura dei propri utenti, oggi le imprese e i professionisti hanno sempre più bisogno anche di dare certezza probatoria alla propria comunicazione.

Essere in grado di provare con certezza l’avvenuta consegna o l’avvenuta lettura di un messaggio inviato a uno o più destinatari, di certificare la data e l’ora in cui è avvenuta la comunicazione o anche lo stesso contenuto del messaggio, sono opzioni che possono rivelarsi estremamente utili per ogni azienda o professionista.

Grazie al servizio di Recapito Certificato di Namirial è possibile provare la consegna elettronica e l’accettazione di documenti tramite email o SMS standard.

In qualità di Trust Service Provider Europeo, Namirial è in grado di certificare l’evidenza che si crea tra mittente e destinatario e di aggiungere un sigillo per dare certezza alla data della comunicazione. Grazie al recapito certificato, inoltre, è possibile rendere il deposito notarizzato come opzione e mantenere on line tutta l’evidenza creata durante il processo di comunicazione.

La soluzione proposta da Namirial è basata sul cloud ed è Software-as-a-Service (SaaS), accessibile tramite una web application o tramite Application Programming Interface (API).