Informatica e Ingegneria Online

Qual è il livello di sicurezza offerto dalle OTP (One Time Password)

Scritto il

Qual è il livello di sicurezza offerto dalle OTP (One Time Password)

Livello di sicurezza delle OTP

In sicurezza informatica e precisamente nell’ambito della robustezza della password, una one-time password (OTP) è una password che è valida solo per una singola sessione di accesso o una transazione. La OTP evita di fatto una serie di carenze associate all’uso della tradizionale password.

Il livello di sicurezza dei token dipende essenzialmente dal modo in cui vengono generate le One Time Password. Più il fattore random è buono, più l’OTP è sicura, perché non può essere prevista. Come noto, i token sono generatori di numeri pseudocasuali, il cui funzionamento si fonda sull’utilizzo di funzioni di hash unidirezionali che consentono di associare in maniera deterministica ad una sequenza arbitraria di byte un digest di lunghezza fissa. Pertanto, una soluzione OTP basata su hash inizia con gli input (parametro di sincronizzazione, chiave segreta, PIN), li esegue tramite la funzione unidirezionale e produce la password di lunghezza fissa.

Qual è il livello di sicurezza offerto dalle OTP (One Time Password)

Gli algoritmi per la produzione di numeri pseudocasuali si basano su un valore iniziale, il cosiddetto “seme” o seed caricato nel generatore stesso, da cui parte una sequenza che è comunque periodica; conoscendo questo valore iniziale è teoricamente possibile risalire a tutta la sequenza dei valori generati.

Gran parte dei linguaggi di programmazione dispone di funzioni per la generazione di numeri pseudo casuali. Tuttavia, la maggior parte di queste funzioni non soddisfa i requisiti rigorosi che la crittografia impone sui generatori di numeri pseudocasuali:

  • La sequenza generata da un algoritmo deve avere un periodo il più esteso possibile;
  • Data una porzione qualsiasi della sequenza generata, un estraneo non dovrebbe disporre di un metodo efficace per trovare il valore del seme fornito al generatore;
  • Data una porzione qualsiasi della sequenza generata, un estraneo non dovrebbe essere in grado di ottenere informazioni positive sui membri successivi o precedenti la sequenza stessa.

Nessuno garantisce che le funzioni crittografiche di hash siano anche generatori di numeri casuali (ovvero con una distribuzione di probabilità equamente distribuita per tutte le occorrenze generate), ma sovente vengono utilizzate anche a questo scopo.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario