back to top

OTP (One-Time Password): cos’è e come funziona

OTP è acronimo di One-Time Password, cioè password utilizzabile una sola volta o, più banalmente, password “usa e getta”. In pratica una OTP è una password che può essere utilizzata per un solo accesso o per autorizzare una singola transazione. Una volta utilizzata la OTP non serve più a nulla, quindi non si corre il rischio di “perderla” o che venga rubata.

Quando si utilizzano le OTP

Le OTP possono essere utilizzate autonomamente oppure, e questo è il caso più frequente, in aggiunta ad una password tradizionale quale ulteriore conferma di una determinata azione (in ambito bancario, ad esempio, le OTP sono utilizzate per confermare dl’invio di bonifici o altre disposizioni finanziarie).

Le One-Time Password sono molto utilizzate nell’ambito dell’home banking ma non solo. Sono sempre di più i siti web, infatti, che hanno introdotto le OTP ad ulteriore garanzia della sicurezza dei propri utenti. Ad esempio Apple richiede l’inserimento di un codice di verifica ogni volta che un nuovo dispositivo si connette ad un ID Apple.

Come ottenere una OTP

Le OTP non vengono scelte dall’utente ma generate automaticamente. Solitamente:

  • sono generate automaticamente da appositi dispositivi (token) in possesso dell’interessato;
  • oppure vengono inviate al telefono cellulare di quest’ultimo mediante SMS oppure attraverso apposite app.

Utilizzo di OTP in fase di accesso

L’inserimento di una OTP può essere richiesto in fase di accesso al servizio. In questo caso il funzionamento è il seguente:

  • l’utente accede al sistema mediante le sue credenziali di accesso (username e password);
  • il sistema può richiedere l’inserimento di una OTP all’atto del primo accesso oppure qualora, per qualsiasi motivo, ritenga “sospetto” il tentativo di accesso (ad esempio perchè avviene da un nuovo dispositivo o da una zona geografica differente da quella da cui normalmente si connette l’utente).

Utilizzo di OTP a conferma di specifiche azioni

Di frequente le OTP sono richieste all’atto del compimento di azioni particolarmente delicate come, ad esempio, l’invio di danaro mediante un sistema di home-banking.

In questo caso la procedura prevede, all’atto dell’invio del bonifico, che l’utente (già autenticato nel sistema) fornisca una ulteriore prova della genuinità dell’accesso mediante l’inserimento di una OTP generata attraverso un token o inviata al suo smartphone tramite SMS.

Altri contenuti interessanti

Pubblicità
Massimiliano Bossi
Massimiliano Bossi
Stregato dalla rete sin dai tempi delle BBS e dei modem a 2.400 baud, ho avuto la fortuna di poter trasformare la mia passione in un lavoro (nonostante una Laurea in Giurisprudenza). Adoro scrivere codice e mi occupo quotidianamente di comunicazione, design e nuovi media digitali. Orgogliosamente "nerd" sono il fondatore di MRW.it (per il quale ho scritto centinaia di articoli) e di una nota Web-Agency (dove seguo in prima persona progetti digitali per numerosi clienti sia in Italia che all'estero).

Leggi anche...

Dominio scaduto da rinnovare subito? No, è una truffa!

Negli ultimi anni si è assistito a un aumento...

Aggiornamento sito web: perché è importante e deve essere fatto con regolarità

L’aggiornamento di un sito web è un’attività fondamentale che...

Autenticazione a due fattori (2FA): cos’è e come funziona

L'autenticazione a due fattori (in inglese Two Factor Authentication...

Authcode: cos’è e come funziona

Con il termine Authcode (o Auth-code) si fa riferimento...

HTTP Security Headers: aumentare la sicurezza del sito con .htaccess

Esistono diverse tecniche per innalzare il livello di sicurezza...

Criptare (e decriptare) file su Linux con OpenSSL

OpenSSL è un'implementazione rilasciata sotto licenza Open Source dei...
Pubblicità