Nella nostra società sempre più digitale, la sicurezza informatica è importantissima: i cyber attacchi sono sempre più frequenti e le tecniche impiegate dai malintenzionati diventano costantemente più raffinate. Al fine di rafforzare la sicurezza, per accedere ad un sistema, ad un’applicazione o ad un servizio online, si è passati dall’autenticazione a due fattori alla Multi-Factor Autentication (MFA), nota anche come autenticazione a più fattori che utilizza, oltre alle credenziali di accesso (user name e password) anche un altro fattore che spesso è un codice OTP.
OTP cos’è e quali vantaggi presenta?
Tutti, molto probabilmente, ci siamo imbattuti in un codice OTP, ma forse questa sigla non ci è così familiare e ci stiamo chiedendo: “Ma un codice OTP cos’è?”. In realtà si tratta di una cosa molto semplice: OTP è l’acronimo di One Time Password, quindi stiamo parlando di una password usa e getta, il cui grande vantaggio è di poter essere utilizzata una sola volta ed essere, subito dopo, annullata.
L’OTP è una combinazione di caratteri numerici o alfanumerici che viene inviata ad un dispositivo in possesso dell’utente, che può essere un app sul proprio smartphone o un token, cioè una chiavetta USB o una smart card capaci di generare una password casuale. Altre volte la password usa e getta viene inviata all’utente mediante un SMS o una mail o ancora esistono dei servizi online che possono essere impiegati per generare tali password.
Le One Time Password sono password dinamiche in quanto cambiano continuamente e, di conseguenza, sono più difficili da violare rispetto a quelle statiche, soprattutto quando queste ultime vengono aggiornate solamente occasionalmente: infatti, anche se venissero intercettate, non potrebbero essere utilizzate una seconda volta.
Differenti tipi di OTP
Gli OTP non sono tutti uguali, infatti ne esistono due differenti tipi:
- le TOTP (Time-Based One Time Password), cioè password monouso a tempo;
- le HOTP (HMAC One Time Password), ovvero password monouso basate su hash.
Vediamo quali sono le differenze tra questi due tipi di password e come, le loro diverse caratteristiche, si riflettono sulla loro maggiore o minore sicurezza.
TOTP: quali sono le caratteristiche di questa password monouso?
Le TOTP sono password monouso a tempo che devono essere utilizzate in un intervallo molto breve che, generalmente, va dai 15 ai 60 secondi. Se il codice di autenticazione univoco non viene digitato nel tempo massimo previsto deve essere reimpostato.
I TOTP si basano su algoritmi che generano codici utilizzando l’orario corrente: per questa ragione, decorso un certo lasso di secondi, viene prodotto un nuovo codice univoco.
Il vantaggio di questo tipo di password consiste proprio nel fatto che essa cambia in un tempo estremamente rapido e, di conseguenza, è più difficile da violare in quanto i criminali informatici hanno un lasso di tempo molto breve per impossessarsene.
TOTP QR: di cosa si tratta?
Le TOTP QR (Time-BasedOne-Time Password Quick Response) sono anch’esse password monouso a tempo, solo che il codice di autenticazione univoco generato viene visualizzato sotto forma di codice QR. In questo caso, per effettuare l’accesso, l’utente deve semplicemente inquadrare il QR code nel tempo massimo a sua disposizione con uno strumento di autenticazione.
Dunque, questo tipo di OTP unisce l’estrema sicurezza delle TOTP con la grande facilità di utilizzo dei codici QR.
HOTP: in cosa si differenziano dalle TOTP?
Abbiamo detto che l’HOTP è una password monouso basata su hash, in altre parole si tratta di un metodo di autenticazione che si fonda su un contatore.
Le HOPT non utilizzano il tempo come fattore per generare il codice, bensì il numero delle volte in cui il codice viene richiesto: pertanto esso si resetta dopo ogni utilizzo e non dopo un certo numero di secondi.
Pur essendo più sicure delle password statiche, le password monouso basate su hash sono considerate più vulnerabili rispetto a quelle a tempo: esse, infatti, non si aggiornano rapidamente, ma anzi possono restare invariate per lunghi periodi se non vengono effettuati nuovi accessi, dando così maggior tempo alle persone non autorizzate per carpirle. Per questa ragione le HOTP sono, attualmente, meno utilizzate rispetto al passato e si preferisce l’utilizzo delle TOTP considerate più sicure.
Vantaggi e svantaggi dei differenti Multi Factor Autentication
Come si è già detto sia TOTP che HOTP sono sistemi di autenticazione robusti, tuttavia dato che il TOTP genera password basate sul tempo e costantemente rinnovate risulta essere più sicuro dell’HOTP. Questo, però, non significa che le password monouso basate su hash non presentino anch’esse dei vantaggi rispetto a quelle a tempo.
Queste ultime, infatti, proprio per le loro caratteristiche, possono risultare più difficili da usare da parte di quelle persone che non hanno una grande confidenza con gli strumenti informatici o da parte di chi ha difficoltà motorie o cognitive: il rischio è quello di non riuscire ad utilizzare per tempo il codice univoco generato e di dover continuare a richiederne degli altri con una notevole perdita di tempo e la sensazione di trovarsi di fronte ad un’esperienza estremamente frustante. In questi casi l’impiego di una password HOTP può risultare di più facile utilizzo.