Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

L’IMPORTANZA DELL’IDENTITÀ IN INTERNET

One Time Password

I problemi inerenti le password sono facilmente superati dall’utilizzo di password “usa e getta”, anche dette One Time Password: ogni codice utilizzato per l’autenticazione diviene, immediatamente dopo il suo utilizzo, non più valido.

In questo modo gli attacchi visti in precedenza non sono più applicabili: l’intercettazione delle credenziali è inutile come anche la ricerca della password con un approccio di tipo esaustivo.

L’automatizzazione delle strategie one time password per l’autenticazione presso un servizio è solitamente portata a termine per mezzo d’appositi strumenti forniti dall’ente che eroga quest’ultimo.

È sempre più diffuso l’utilizzo di token crittografici, con dimensioni paragonabili a quelle di un portachiavi (Figura 1), in grado di fornire degli opportuni codici che sono differenti per ogni token, e che, periodicamente, cambiano senza mai ripetersi.

Per realizzare un’autenticazione forte, l’utilizzo del token one time password è abbinato all’inserimento di una radice scelta dall’utente all’atto della registrazione al servizio: l’utente, così, per confermare la sua identità, deve inserire la radice da lui scelta ed il codice fornito dal token one time password, fornendo dunque due caratteristiche di base: qualcosa che egli conosce (la radice) e qualcosa che egli possiede (il token).

il dispositivo per la generazione di token può avere l'aspetto di un portachiavi con un display su cui leggere il codice

Figura 1 - Token crittografico

In modo simile, con qualche limitazione sulla robustezza, alcuni erogatori di servizi, tra cui gli enti bancari, realizzano il meccanismo di one time password con delle tabelle recanti dei codici alfanumerici indicizzati: l’autenticazione richiede, mediante indicazione di un certo numero di indici, l’inserimento da parte dell’utente dei caratteri presenti nella tabella corrispondenti a tali indici, oltre alla radice che l’utente sceglie all’atto della registrazione.