OTP è acronimo di One-Time Password, cioè password utilizzabile una sola volta o, più banalmente, password “usa e getta”. In pratica una OTP è una password che può essere utilizzata per un solo accesso o per autorizzare una singola transazione. Una volta utilizzata la OTP non serve più a nulla, quindi non si corre il rischio di “perderla” o che venga rubata.
Indice
Quando si utilizzano le OTP
Le OTP possono essere utilizzate autonomamente oppure, e questo è il caso più frequente, in aggiunta ad una password tradizionale quale ulteriore conferma di una determinata azione (in ambito bancario, ad esempio, le OTP sono utilizzate per confermare dl’invio di bonifici o altre disposizioni finanziarie).
Le One-Time Password sono molto utilizzate nell’ambito dell’home banking ma non solo. Sono sempre di più i siti web, infatti, che hanno introdotto le OTP ad ulteriore garanzia della sicurezza dei propri utenti. Ad esempio Apple richiede l’inserimento di un codice di verifica ogni volta che un nuovo dispositivo si connette ad un ID Apple.
Come ottenere una OTP
Le OTP non vengono scelte dall’utente ma generate automaticamente. Solitamente:
- sono generate automaticamente da appositi dispositivi (token) in possesso dell’interessato;
- oppure vengono inviate al telefono cellulare di quest’ultimo mediante SMS oppure attraverso apposite app.
Utilizzo di OTP in fase di accesso
L’inserimento di una OTP può essere richiesto in fase di accesso al servizio. In questo caso il funzionamento è il seguente:
- l’utente accede al sistema mediante le sue credenziali di accesso (username e password);
- il sistema può richiedere l’inserimento di una OTP all’atto del primo accesso oppure qualora, per qualsiasi motivo, ritenga “sospetto” il tentativo di accesso (ad esempio perchè avviene da un nuovo dispositivo o da una zona geografica differente da quella da cui normalmente si connette l’utente).
Utilizzo di OTP a conferma di specifiche azioni
Di frequente le OTP sono richieste all’atto del compimento di azioni particolarmente delicate come, ad esempio, l’invio di danaro mediante un sistema di home-banking.
In questo caso la procedura prevede, all’atto dell’invio del bonifico, che l’utente (già autenticato nel sistema) fornisca una ulteriore prova della genuinità dell’accesso mediante l’inserimento di una OTP generata attraverso un token o inviata al suo smartphone tramite SMS.
