Cos’è la One Time Password

Ormai sono entrati piano piano nella nostra vita quotidiana. Di cosa stiamo parlando? Mi riferisco alle One Time Password (OTP). Vediamo cosa sono e soprattutto come funzionano.

Il codice OTP è un codice temporaneo di tipo usa e getta che si riceve in genere sul proprio telefonino tramite un SMS. Il suo scopo primario è quello di aumentare la sicurezza delle operazioni finanziarie elettroniche, acquisti online inclusi.

Trattandosi di una password momentanea della durata di pochi secondi (di solito 30), il codice OTP ha il vantaggio di non poter essere intercettato.
Il codice arriva direttamente sul telefonino tramite un SMS e, di conseguenza, solo chi possiede il device può vederla e quindi utilizzarla entro il lasso di tempo prestabilito. Una volta che è stato utilizzato, il codice OTP viene automaticamente reso inutilizzabile e di conseguenza non sarà più possibile convalidare nessuna operazione successiva a quella già convalidata.
In effetti, l’OTP viene sempre generata sul momento, nell’istante in cui serve per confermare una procedura online.
Vediamo adesso di dare una panoramica maggiore nei casi di possibile utilizzo.

Come si genera

La generazione del codice OTP varia a seconda dei casi: in alcune circostanze esso viene inviato sul telefono cellulare dell’utente, tramite un SMS.
Altre volte lo si riceve direttamente sulla app oppure, meno frequentemente, può essere generato in autonomia direttamente dall’utente tramite un piccolo device fornito dalla banca, cioè un piccolo generatore fisico (detta RSA o chiavetta) che mostra su un display il codice generato automaticamente.
Gli algoritmi per la generazione di un codice OTP di solito fanno riferimento a numeri casuali.

In parole molto semplici possiamo dire che l’OTP viene essere generata usando algoritmi che funzionano in base alla sincronizzazione temporale tra il client e server di autenticazione. Il server è il sistema che fornisce il servizio e il client è il dispositivo della persona. Ad esempio nel’Home Banking sarà il server della banca a generare l’OTP e ad inviarlo al cellulare (SMS) del cliente, detto appunto client. Non solo, il codice può essere generato anche da algoritmi in cui la password dipende da un challenge e da un contatore. Infine vi sono anche algoritmi in cui la password nuova viene generata in funzione di quella precedente.

Quanto è affidabile

L’affidabilità di un codice OTP è, senza alcun dubbio, molto elevata, proprio perché la password è a disposizione unicamente dell’utente che la richiede.
Immagina di voler compiere un acquisto presso un e-commerce, per completare il pagamento ti viene richiesto di inserire i dati della tua carta di credito. Non è difficile immaginare uno scenario in cui la carta smarrita o rubata possa essere utilizzata da qualcuno per fare shopping su Internet. Insomma, ti potresti ritrovare degli addebiti per spese non autorizzate.
Diverso è il caso in cui, per completare il pagamento, oltre ai dati della carta di credito venga richiesto di inserire anche il codice OTP che viene generato al momento. In questo caso la sicurezza è molto più alta non credi?
È così perché in questo caso solo tu riceverai il codice che serve per sbloccare il pagamento della carta alla quale in precedenza è stato associato il tuo numero di telefono per ricevere l’SMS con l’OTP.
In genere i codici vengono spediti proprio tramite un SMS; più rari, almeno per il momento, sono i casi di invio tramite app.

Conclusioni

Come si è capito, il codice OTP può essere annoverato tra i sistemi che permettono di incrementare la sicurezza delle operazioni online: non solo gli acquisti, ma anche, come nell’esempio precedente, l’accesso a un conto corrente. Grazie alla password generata al momento e utilizzabile entro breve tempo, questo sistema è molto sicuro.