ott
27

[Speciale sicurezza] OTP : One Time Password

 

Di Leonardi Marzia , Martorana Donatella

Negli ultimi anni, grazie allo sviluppo di nuove tecnologie, le comunicazioni tra uno o più utenti sono sensibilmente migliorate, aumentando però anche il rischio di intercettazioni. Di conseguenza, nelle comunicazioni tra più utenti, è diventato importante riconoscersi e farsi riconoscere dal
sistema, ossia farsi autenticare.
Un sistema di autenticazione basato su OTP fornisce un sicuro strumento di autenticazione che si avvale di un duplice fattore: un dato noto, il codice identificativo dell’utente, ed uno non noto e sempre diverso, la password casuale generata da un dispositivo, il token. Il token può avere una
connessione USB o essere completamente off-line: basterà digitare il codice generato nel computer per accedere alla sessione richiesta.
Il principale vantaggio di un sistema OTP è che l’utente, ovunque si trovi, può accedere alla pagina protetta senza necessità di particolari applicazioni o connessioni. L’autenticazione, in una comunicazione virtuale tra due interlocutori, può essere effettuata verificando che la controparte possieda almeno uno dei seguenti requisiti “di base”, ordinati in base al loro grado di “robustezza”:

1. conoscenza esclusiva di una certa informazione (ciò che l’utente conosce);

2. possesso esclusivo di un oggetto, non necessariamente “fisico” (ciò che l’utente possiede);

3. possesso di una o più caratteristiche fisiche, misurabili con appositi sensori, che lo differenzino da tutti gli altri soggetti (ciò che l’utente è).

E’ possibile distinguere due tipologie d’autenticazione, definite da un uso differente dei requisiti sopra riportati che corrispondono a gradi di robustezza distinti:
· L’autenticazione debole, prevede l’utilizzo di un identificativo utente e di una password che solo l’utente può conoscere in quanto scelta da egli stesso.
· L’autenticazione forte, si basa su meccanismi di autenticazione che garantiscono l’appartenenza di determinate credenziali ad un’entità fisica.

Un esempio è la “Two Factor Authentication”, dove il richiedente (client) ottiene il riconoscimento e l’accesso a determinate risorse solo se presenta certe credenziali costituite da due elementi: un qualcosa che possiede e un qualcosa che si conosce. Un classico esempio di autenticazione forte lo si
può trovare nella fruizione di servizi di online banking, dove non è insolito che, in prima istanza, sia richiesto l’inserimento di un identificativo utente e di una password e, all’atto della conferma di una transazione quale un bonifico, sia richiesto l’inserimento di un codice numerico “usa e getta” ottenibile da un token crittografico o da un’apposita tabella fornita dall’ente bancario.


Popularity: unranked [?]



Puoi visualizzare il post originale qui.

top