OTP - One Time Password

Quando si deve eseguire un accesso ad un area riservata oppure si ha la necessità di firmare un'azione su un contenuto ci si aspetta sempre che solo l'utente che ne ha diritto possa eseguire questa operazione, ma pensate se un malintenzionato vi ha "rubato" i dati di accesso alla vostra area gestionale.

In questo scenario neanche la Access Control List più sicura non può fare nulla per proteggere i dati da un "attacker" che ci ha sottratto l'autenticazione.

Per ovviare a questo problema esistono diversi sistemi tra cui le firme digitali che riprenderemo in un altro articolo, oppure le one time password, ovvero password che hanno validità una volta sola e che vengono utilizzate in combinazione con i nostri dati di accesso, l'esempio di questa tecnologia è quella utilizziamo quando eseguiamo le operazioni bancarie e viene richiesto il codice di sicurezza generato dal sistema hardware che abbiamo attaccato alle nostre chiavi di casa.

I metodi utilizzati da un OTP Token ovvero l'apparecchio fisico che mostra la combinazione univoca possono essere tipicamente di 3 tipi

• Time Based
• Mathematical Based
• Challenge Based

Il primo tipo è basato sulla sincronizzazione del tempo tra il token ed il server di autenticazione di un attività, il secondo tipo, quello che vedremo dopo nello specifico si basa su algoritmi matematici di generazione del codice ed il terzo, il più semplice, che si basa su una lista di passwords precaricate ed al momento di una richiesta il server sfida il token con il numero della password da scegliere e questo risponde con il codice relativo a quel numero.

Sono tutte e tre ottimi algoritmi di generazione di OTP con i loro pregi e difetti, il primo gruppo non lo analizzeremo in quanto il sistema crittografico che fa uso del tempo di sincronizzazione è spesso proprietario e quindi utilizza un metodo di sicurezza chiamato "securing through obscurity" ovvero senza che si abbia conoscenza del metodo con cui si arriva ad un risultato, il terzo necessità di un forte caricamento iniziale ma rende molto scomodo ed inefficiente la produzione di queste liste di password, vediamo invece il secondo gruppo, quelli basati sulla matematica.

Mathematical Algorithm for OTP

Il sistema matematico è un buon compromesso tra una realizzazione a costo ridotto e sicurezza, il suo principio di funzionamento si basa su un seme iniziale condiviso tra il server di autenticazione ed il generatore di tokens, i successivi semi sono calcolati partendo da quello precedente. In questo scenario per un malintenzionato sarà molto difficile riuscire a portare a termine un attacco in quanto per riuscirci dovrebbe conoscere il seme iniziale e il punto in cui il sistema si trova a lavorare.

Realizzabilità utilizzando sistemi commerciali

Quando ci interessammo ai sistemi OTP prendemmo contatto con una delle più grandi autorità di questo campo per avere proprio degli OTP hardware come quelli forniti dalle banche ma qui si pone un ostacolo, se non si hanno migliaia di utenze il costo di un implementazione hardware è veramente occlusivo. 

Esiste però la possibilità di avere questo sistema tramite i normali devices mobile di cui abbiamo già parlato svariatamente sia sul laboratorio e sia tramite il servizio dedicato.

E' possibile avere una soluzione pienamente comparabile a quelle dedicate utilizzando i nostri devices Android oppure iOS ad un costo decisamente più competitivo per le piccole e medie necessità realizzando un App dedicata che realizzi il nostro OTP hardware, con questo scenario il sistema è completo e quindi possiamo avere sicurezza e flessibilità utilizzando i nostri normali devices.