Informatica e Ingegneria Online

OTP Event-based: Come funzionano le One Time Password basate sugli eventi

Scritto il

OTP Event-based: Come funzionano le One Time Password basate sugli eventi

Definizione OTP

In sicurezza informatica e precisamente in crittografia, una one-time password (OTP) o in italiano password valida una sola volta è appunto una password che è valida solo per una singola sessione di accesso o una transazione. Per questo suo scopo l’OTP è anche detta password usa e getta.

La OTP evita una serie di carenze associate all’uso della tradizionale password statica. Il più importante problema che viene risolto da OTP è che, al contrario della password statica, essa non è vulnerabile agli attacchi con replica. Ciò significa che, se un potenziale intruso riesce a intercettare una OTP che è stata già utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla, in quanto non sarà più valida. D’altra parte, una OTP non può essere memorizzata da una persona in quanto sarebbe inutile per lo stesso motivo. Essa richiede quindi una tecnologia supplementare per poter essere utilizzata (un dispositivo fisico con la calcolatrice OTP incorporata, o un numero di cellulare specifico). Le OTP possono essere utilizzate come unico fattore di autenticazione, o in aggiunta ad un altro fattore, come può essere la password dell’utente, i dati della carta di credito o un PIN in modo da realizzare una autenticazione a due fattori.

OTP Event-based 

I token event-based o OTP basati sugli eventi sono dotati di un pulsante, che deve essere premuto ogni volta che si desidera una nuova password. Quando la nuova OTP viene visualizzata, viene incrementato di uno il valore del contatore interno al token, dall’altra parte il server, ogni volta che un’autenticazione avviene con successo, incrementa il proprio valore del contatore, sempre di un’unità. In questo modo, teoricamente, i valori dei contatori sul token e sul server rimangono sincronizzati, in modo da generare sempre la stessa One Time Password.

I token event-based possono desincronizzarsi se si generano OTP, che non vengono effettivamente utilizzate per autenticarsi, perché in questo caso il valore del contatore del token continua ad essere incrementato, mentre il server, ignaro, non incrementa il valore del suo contatore. Quindi, il successivo tentativo di autenticazione non andrà a buon fine, perché il server non riconoscerà l’OTP generata dal token.

OTP Event-based: Come funzionano le One Time Password basate sugli eventi

Per ovviare a questo problema, vengono accettati come validi i 10 codici successivi all’ultimo utilizzato con successo e ad ogni autenticazione, che cade in questo range, i due contatori si sincronizzano nuovamente. Poiché non esiste un orologio interno, i token event-based non hanno una scadenza. Ogni 4-6 anni si dovranno solo sostituire le batterie che alimentano il token, operazione che può essere facilmente compiuta dall’utente finale. Pertanto, al contrario dei token time-based, non richiedono alcun costo aggiuntivo di sostituzione.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario