OTP e livello di sicurezza

One Time Password e livello di sicurezza

Livello di sicurezza delle OTP

Il livello di sicurezza dei token dipende essenzialmente dal modo in cui vengono generate le One Time Password. Più il fattore random è buono, più l’OTP è sicura, perché non può essere prevista. Come noto, i token sono generatori di numeri pseudocasuali, il cui funzionamento si fonda sull’utilizzo di funzioni di hash unidirezionali che consentono di associare in maniera deterministica ad una sequenza arbitraria di byte un digest di lunghezza fissa. Pertanto, una soluzione OTP basata su hash inizia con gli input (parametro di sincronizzazione, chiave segreta, PIN), li esegue tramite la funzione unidirezionale e produce la password di lunghezza fissa.

Gli algoritmi per la produzione di numeri pseudocasuali si basano su un valore iniziale, il cosiddetto “seme” o seed caricato nel generatore stesso, da cui parte una sequenza che è comunque periodica; conoscendo questo valore iniziale è teoricamente possibile risalire a tutta la sequenza dei valori generati.

Gran parte dei linguaggi di programmazione dispone di funzioni per la generazione di numeri pseudo casuali. Tuttavia, la maggior parte di queste funzioni non soddisfa i requisiti rigorosi che la crittografia impone sui generatori di numeri pseudocasuali:

  • La sequenza generata da un algoritmo deve avere un periodo il più esteso possibile;
  • Data una porzione qualsiasi della sequenza generata, un estraneo non dovrebbe disporre di un metodo efficace per trovare il valore del seme fornito al generatore;
  • Data una porzione qualsiasi della sequenza generata, un estraneo non dovrebbe essere in grado di ottenere informazioni positive sui membri successivi o precedenti la sequenza stessa.

Nessuno garantisce che le funzioni crittografiche di hash siano anche generatori di numeri casuali (ovvero con una distribuzione di probabilità equamente distribuita per tutte le occorrenze generate), ma sovente vengono utilizzate anche a questo scopo.

Precedente Algoritmi matematici per OTP basati su funzioni unidirezionali Successivo Veri numeri casuali con metodi quantistici

Lascia un commento

*