Codice OTP: cos’è e quando viene usato

Spesso si sente parlare di OTP, ma esattamente cosa significa one time password? In poche parole, una OTP (One Time Password) ovvero una “utilizzabile solo una volta”, è una password che, come dice il nome, ha una validità limitata nel tempo, ciò significa che può essere utilizzata solo entro un preciso lasso temporale e per una sola volta, dopodiché non sarà più valida. Si tratta, più precisamente, di un codice numerico richiesto per l’accesso ad alcuni servizi per un ulteriore livello di sicurezza.

Codice OTP e firma digitale

Dopo aver chiarito cosa significa One time password, è bene precisare a cosa serve il codice OTP e quando può essere utile nella vita di tutti i giorni. Oltre ad essere uno strumento mediante il quale è possibile accedere a determinate piattaforme, essa è necessaria anche per sottoscrivere documenti digitali.

La firma digitale qualificata è l’unico metodo legalmente riconosciuto per sostituire la firma olografa, e per ottenerla, l’utente deve generare l’OTP tramite il proprio smartphone. Questo approccio permette di autenticare la firma in modo semplice, ed evita l’utilizzo di dispositivi hardware, come la chiavetta USB o altri dispositivi meno efficienti.

Codice OTP e Spid

Un altro strumento che richiede il codice OTP per il funzionamento è lo Spid, cioè il Sistema di Identità Digitale. Attraverso l’OTP, è possibile accedere ai diversi servizi della Pubblica Amministrazione, o richiedere diversi bonus senza doversi recare fisicamente negli uffici, risparmiando tempo prezioso. Per effettuare l’accesso su qualsiasi sito della PA, bisogna selezionare il provider dell’identità digitale, inserire le credenziali (nome utente e password) ed effettuare la verifica aggiuntiva con l’One Time Password, generata tramite smartphone.

Codice OTP ed autenticazione a due fattori

Esistono diversi altri sistemi progettati per garantire l’accesso solo ai legittimi proprietari delle credenziali. Quello più sicuro è l’MFA, ovvero l’autenticazione multifattore, che richiede oltre alla password anche il codice OTP, generato da un’applicazione alla quale è possibile accedere mediante il riconoscimento facciale, le impronte digitali, ecc.

L’MFA si distingue dai sistemi di autenticazione a singolo fattore perché garantisce una sicurezza più elevata. I sistemi a singolo fattore, pur essendo più semplici da utilizzare, potrebbero rappresentare un sistema un po’ più semplice da violare se le credenziali vengono intercettate da malintenzionati.

Come viene generato un codice OTP

Il codice OTP può essere creato in modo automatico dai dispositivi dedicati, ad esempio smartcard con software apposito, oppure mediante invio di un sms, email o apposite applicazioni di autenticazione utilizzabili sia da smartphone che da tablet o PC. Più precisamente, sono tre gli algoritmi che vengono usati per poter generare queste particolari password:

• Algoritmi che agiscono mediante la sincronizzazione temporale tra il server di autenticazione e il client che fornisce la password, anch’essi sono validi solo per un breve lasso di tempo e vengono generati da un token;

• Algoritmi in cui la password è basata su un numero casuale scelto da un server di autenticazione o su un contatore;

• Algoritmi matematici il cui scopo è quello di generare una nuova password in base alla password precedentemente impostata.