One-Time Password: Definizione e Differenza tra OTP e TOTP

Definizione OTP

Una OTP, One-Time Password, o in italiano password monouso è un tipo di password valida per un solo utilizzo. È un modo sicuro per fornire l’accesso a un’applicazione o eseguire una transazione una sola volta. La password diventa non valida dopo che è stata utilizzata e non può essere riutilizzata.

Più nel dettaglio, un OTP è una tecnica di sicurezza che fornisce protezione contro vari attacchi basati su password, in particolare attacchi con password sniffing e replay.

Fornisce dunque una protezione più avanzata rispetto alle password statiche, che rimangono le stesse per più sessioni di accesso. OTP funziona attraverso algoritmi di casualità che generano una password nuova e casuale ogni volta che vengono utilizzati.

L’algoritmo utilizza sempre caratteri e simboli casuali per creare una password in modo che un hacker / cracker non possa indovinare la password futura. Un OTP utilizza diverse tecniche per creare una password, tra cui:

Sincronizzazione temporale (Time-based One-Time): la password è valida solo per un breve periodo di tempo.
Algoritmo matematico: la password viene generata utilizzando numeri casuali elaborati all’interno di un algoritmo.

Differenza tra OTP e TOTP

In questi due paragrafi successivi vengono spiegate le caratteristiche e le differenze tra OTP, One-Time Password, e TOTP, Time-based One-Time Password.

One-Time Password

In informatica, uno dei problemi principali delle password testuali risiede nella vulnerabilità intrinseca nel segreto definito in fase di registrazione dall’utente; basta infatti ricavare quel segreto (sia in chiaro che tramite digest), per compromettere definitivamente l’intero sistema di autenticazione. La tecnica OTP (One-Time Password) riesce a risanare questa lacuna attraverso un meccanismo di password testuali la cui validità è legata al suo utilizzo: dopo che sarà adoperata, essa non potrà piu` essere riutilizzata rendendo quindi del tutto inefficace replay e sniffing attack. Per quanto riguarda il sistema di generazione delle password, esso viene stabilito dal server che ne creerà un elenco a partire da un segreto condiviso con l’utente.

E’ importante specificare che il server non avrà mai l’elenco completo delle password, ma esse saranno di volta in volta calcolate su richiesta del client a partire dal segreto condiviso.
Un problema di OTP riguarda il mezzo trasmissivo tramite il quale il server deve inviare i dati al client, che deve necessariamente avvenire out-of-band.

Time-based One-Time Password

La tecnica TOTP, Time-based One-Time Password, riprende i concetti visti nel paragrafo precedente ma si differenzia dal fatto che la password viene calcolata sul momento dal server e dal client a partire dalla data e dall’ora corrente, assieme al segreto tra loro condiviso. Tutto ciò viene tipicamente realizzato tramite la costruzione di un hardware, posseduto poi dall’utente finale, che è in grado di generare un token code ogni 60 secondi (in genere, il tempo però può essere anche più breve). Affinchè il sistema funzioni è necessario che client e server siano perfettamente sincronizzati tra loro: se da un lato il server può utilizzare il protocollo NTP per farlo in modo preciso e costante, dall’altro l’hardware del client subisce un degrado temporale inevitabile, motivo per cui dopo una certa durata il dispositivo risulterà inutilizzabile e dovrà essere sostituito. Inoltre, data l’aggiunta di un secondo elemento di confronto, ovvero il tempo, il sistema potrebbe essere violato da attacchi DoS con il preciso compito di bloccare il client a seguito di un certo numero di tentativi invalidi.
E’ da precisare anche la pericolosità di attacchi basati su tecniche di social engineering, tramite il quale si potrebbe assumere l’identità dell’utente per farsi inizializzare e poi spedire un nuovo token.