Che cos’è una password monouso basata sul tempo e dovresti usarne una?
Le password monouso basate sul tempo (TOTP) sono l’algoritmo informatico standard per password monouso. Si espandono sulla password monouso basata su codice di autenticazione dei messaggi basata su hash (HMAC) (password monouso basata su HMAC o HOTP in breve).
I TOTP possono essere utilizzati al posto o come fattore aggiuntivo accanto alle tradizionali soluzioni di autenticazione a due fattori di lunga durata, come messaggi SMS o token hardware fisici che possono essere rubati o dimenticati facilmente. Quindi cosa sono esattamente le password monouso basate sul tempo? Come funzionano?
Cos’è un TOTP?
TOTP è un passcode temporaneo monouso generato in linea con l’ora corrente da un algoritmo per l’autenticazione dell’utente. È un ulteriore livello di sicurezza per i tuoi account basato sull’autenticazione a due fattori (2FA) o sull’autenticazione a più fattori (MFA). Ciò significa che dopo aver inserito il nome utente e la password, è necessario inserire un codice particolare basato sul tempo e di breve durata.
TOTP è così chiamato perché utilizza un algoritmo standard per elaborare un passcode univoco e numerico utilizzando il Greenwich Mean Time (GMT). Cioè, il passcode viene generato dall’ora corrente durante quel periodo. I codici vengono generati anche da un segreto condiviso o da un passcode seme segreto fornito al momento della registrazione dell’utente con il server di autenticazione, tramite codici QR o testo in chiaro.
Questo passcode viene mostrato all’utente, che dovrebbe utilizzarlo per un periodo di tempo specificato, dopodiché scade. Gli utenti inseriscono il passcode monouso, il nome utente e la normale password in un modulo di accesso entro un tempo limitato. Dopo la scadenza, il codice non è più valido e non può essere utilizzato su un modulo di accesso.
I TOTP includono una stringa di codici numerici dinamici, generalmente tra quattro e sei cifre, che cambiano ogni 30-60 secondi. L’Internet Engineering Task Force (IETF) ha pubblicato TOTP, descritto in RFC 6238 , e utilizza un algoritmo standard per ottenere una password monouso.
I membri dell’Initiative for Open Authentication (OATH) sono i cervelli dietro l’invenzione di TOTP. È stato venduto esclusivamente sotto brevetto e da allora diversi fornitori di autenticazione lo hanno commercializzato seguendo la standardizzazione. Attualmente è ampiamente utilizzato dai provider di applicazioni cloud. Sono facili da usare e disponibili per l’utilizzo offline, il che li rende ideali per l’uso in aereo o quando non si dispone di copertura di rete.
Come funziona un TOTP?
I TOTP, come secondo fattore di autorizzazione sulle tue app, forniscono ai tuoi account un ulteriore livello di sicurezza perché devi fornire i passcode numerici una tantum prima di accedere. Sono comunemente chiamati “token software”, “token software” ” e “autenticazione basata su app” e trovano impiego in app di autenticazione come Google Authenticator e Authy .
Il modo in cui funziona è che dopo aver inserito il nome utente e la password del tuo account, ti viene chiesto di aggiungere un codice TOTP valido in un’altra interfaccia di accesso come prova che possiedi l’account.
In alcuni modelli, il TOTP ti arriva sullo smartphone tramite un messaggio di testo SMS. Puoi anche ottenere i codici da un’applicazione per smartphone di autenticazione scansionando un’immagine QR. Questo metodo è il più utilizzato e i codici di solito scadono dopo circa 30 o 60 secondi. Tuttavia, alcuni TOTP possono durare 120 o 240 secondi.
Il passcode viene creato dalla tua parte invece che dal server che utilizza l’applicazione di autenticazione. Per questo motivo hai sempre accesso al tuo TOTP in modo che il server non debba inviare un SMS ogni volta che accedi.
Esistono altri metodi attraverso i quali puoi ottenere il tuo TOTP:
- Token di sicurezza hardware.
- Messaggi di posta elettronica dal server.
- Messaggi vocali dal server.
Poiché il TOTP è basato sul tempo e scade in pochi secondi, gli hacker non hanno abbastanza tempo per anticipare i tuoi passcode. In questo modo, forniscono ulteriore sicurezza al sistema di autenticazione con nome utente e password più debole.
Ad esempio, vuoi accedere alla tua workstation che utilizza TOTP. Per prima cosa inserisci il nome utente e la password per l’account e il sistema ti richiede un TOTP. Puoi quindi leggerlo dal tuo token hardware o dall’immagine QR e digitarlo nel campo di accesso TOTP. Dopo che il sistema ha autenticato il passcode, ti accede al tuo account.
L’algoritmo TOTP che genera il passcode richiede l’immissione dell’ora del dispositivo e il seme o la chiave segreta. Non è necessaria la connettività Internet per generare e verificare il TOTP, motivo per cui le app di autenticazione possono funzionare offline. TOTP è necessario per gli utenti che desiderano utilizzare i propri account e necessitano di autenticazione durante i viaggi in aereo o in aree remote in cui la connettività di rete non è disponibile.
Come viene autenticato TOTP?
Il seguente processo fornisce una guida semplice e breve su come funziona il processo di autenticazione TOTP.
Quando un utente desidera accedere a un’applicazione come un’applicazione di rete cloud, gli viene richiesto di inserire il TOTP dopo aver inserito nome utente e password. Richiedono che 2FA sia abilitato e il token TOTP utilizza l’algoritmo TOTP per generare l’OTP.
L’utente immette il token nella pagina di richiesta e il sistema di sicurezza configura il proprio TOTP utilizzando la stessa combinazione dell’ora corrente e del segreto condiviso o della chiave. Il sistema confronta i due passcode; se corrispondono, l’utente viene autenticato e gli viene concesso l’accesso. È importante notare che la maggior parte dei TOTP eseguirà l’autenticazione con codici QR e immagini.
TOTP vs. password monouso basata su HMAC
La password monouso basata su HMAC ha fornito il framework su cui è stato costruito TOTP. Sia TOTP che HOTP condividono somiglianze, poiché entrambi i sistemi utilizzano una chiave segreta come uno degli input per generare il passcode. Tuttavia, mentre TOTP utilizza l’ora corrente come altro input, HOTP utilizza un contatore.
Inoltre, in termini di sicurezza, TOTP è più sicuro di HOTP perché le password generate scadono dopo 30-60 secondi, dopodiché ne viene generata una nuova. In HOTP, il passcode rimane valido fino a quando non lo utilizzi. Per questo motivo, molti hacker possono accedere agli HOTP e utilizzarli per eseguire con successo attacchi informatici. Anche se HOTP è ancora utilizzato da alcuni servizi di autenticazione, le app di autenticazione più popolari richiedono TOTP.
Quali sono i vantaggi dell’utilizzo di un TOTP?
I TOTP sono utili perché ti forniscono un ulteriore livello di sicurezza. Il solo sistema nome utente-password è debole e comunemente soggetto ad attacchi Man-in-the-Middle. Tuttavia, con i sistemi 2FA/MFA basati su TOTP, gli hacker non hanno abbastanza tempo per accedere al tuo TOTP anche se hanno rubato la tua password tradizionale, quindi hanno poche opportunità di hackerare i tuoi account.
L’autenticazione TOTP fornisce ulteriore sicurezza
I criminali informatici possono facilmente accedere al tuo nome utente e password e hackerare il tuo account. Tuttavia, con i sistemi 2FA/MFA basati su TOTP, puoi avere un account più sicuro perché i TOTP sono limitati nel tempo e scadono in pochi secondi. Vale chiaramente la pena implementare TOTP.
Lascia un commento