OTP: cos'è e come funziona

Codice OTP: cos’è e come funziona la password usa e getta nella firma digitale remota

Una OTP è, per definizione, una password valida per una sola operazione: l’acronimo OTP significa appunto One-Time Password, e cioè password usa e getta. Una OTP può essere usata da sola o in associazione a un’altra chiave d’accesso, per esempio un codice PIN, e può essere richiesta per eseguire o confermare diverse operazioni online, dalle transazioni all’accesso a determinati servizi.

Sempre più diffuse, le OTP sono alla base della sicurezza di prodotti e applicazioni oggi di uso quotidiano: servizi di internet banking, accesso tramite SPID e altri sistemi di Identità Digitale e acquisti su e-commerce sono soltanto alcune delle operazioni per cui è richiesta una OTP. 

Vediamo quindi cos’è un codice OTP, come viene generato e come si usa, prendendo ad esempio una delle tipologie di prodotti più strettamente legate all’uso di password usa e getta: la firma digitale.

Che cos’è il codice OTP?

Un codice OTP è una password valida per una sola operazione: che si tratti di una transazione oppure dell’apposizione di una firma digitale, le OTP possono essere usate per un periodo limitato di tempo, in alcuni casi soltanto per pochi secondi, e diventano inutilizzabili dopo il primo uso. 

Questo tipo di variabilità conferisce alle password usa e getta un maggiore grado di sicurezza rispetto a quello delle password statiche, o tradizionali, che possono essere più facilmente oggetto di attacchi informatici. 

Una OTP può essere usata da sola oppure in associazione a un’altra forma di autenticazione, come un codice PIN o le classiche credenziali composte da username e password, per dar luogo alla cosiddetta autenticazione a due fattori. 

Questo tipo di autenticazione, definita “forte”, si basa sulla possibilità di verificare almeno due parametri tra i tre generalmente considerati come metodi efficaci di identificazione dell’utente, che consistono nell’autenticazione tramite:

• qualcosa di conosciuto dall’utente, come una password o un PIN, che però può andare perduto o dimenticato, oppure essere violato da terzi;
• qualcosa di strettamente caratteristico dell’utente, per esempio l’impronta digitale o la forma del viso, usate per lo sblocco di molti dispositivi mobili;
• qualcosa di posseduto in via esclusiva dall’utente, come un token di sicurezza o un’app installata sullo smartphone.

La password usa e getta rientra in quest’ultimo gruppo di fattori di autenticazione: l’OTP prevede infatti che l’utente sia fisicamente in possesso di un dispositivo ad esclusivo uso personale, come un token o una smart card, o di un’applicazione scaricata sul proprio smartphone.

Firma digitale e OTP: la firma remota

Il caso delle firme digitali, in cui il meccanismo di autenticazione tramite password usa e getta è molto diffuso, è particolarmente utile nel comprendere meglio come funziona un codice OTP. 

Esistono firme digitali che prevedono il possesso di un dispositivo fisico per la generazione delle password temporanee, come la Firma Digitale OTP Aruba con Display, e prodotti che invece consentono di firmare documenti con pieno valore legale semplicemente usando il proprio smartphone. 

Entrambi i tipi di firma digitale, al momento, rientrano nelle Firme Elettroniche Qualificate (FEQ): ciò significa che sia la firma con token, USB o smart card sia la firma remota, secondo il regolamento eIDAS, possono essere equiparati alla firma autografa. 

Secondo i dati dell’AgID - Agenzia per l’Italia Digitale, oltre l’80% delle firme digitali emesse in Italia rientra tra le firme remote, quelle cioè basate sulla generazione di OTP tramite software e che non necessitano di un dispositivo fisico associato al certificato di firma. 

Un codice OTP viene generato “su richiesta” dell’utente, per esempio in seguito all’inserimento di username e password, o per effetto dell’accensione del Display OTP. Quando non viene visualizzata su un dispositivo a tempo come un token di sicurezza, la chiave OTP viene inviata all’utente tramite SMS oppure generata da applicazioni appositamente sviluppate dai provider di firme digitali.

Firma OTP: come funziona?

Nelle firme digitali, la One Time Password agisce come secondo fattore dell’autenticazione. Il codice viene generato nel momento in cui l’utente inserisce le credenziali univoche (ID e password) fornitegli dal provider di servizi, e consegnato via SMS o tramite app crittografata. L’OTP va quindi inserita come “seconda password” per completare l’operazione di autenticazione e firma. 

Per usare una firma digitale OTP è sufficiente avere a disposizione uno smartphone. La Firma Digitale Aruba OTP Mobile, per esempio, permette di firmare i propri documenti da qualunque dispositivo grazie a due applicazioni gratuite: Firma Digitale Aruba, per apporre la firma OTP Aruba, e Aruba OTP per generare le password usa e getta. 

Nel caso della Firma Remota con OTP InfoCert, la stessa applicazione (GoSign, che ha sostituito Dike) può essere usata per firmare e gestire documenti e apporre marche temporali, mentre le OTP vengono generate dall’App MyInfoCert, che permette di gestire tutte le autenticazioni a due fattori dei servizi InfoCert.

Esistono poi anche firme elettroniche OTP più deboli, che rientrano nelle Firme Elettroniche Avanzate (FEA): sono spesso usate da banche e assicurazioni per la sottoscrizione dei contratti da remoto, e prevedono un’autenticazione tramite OTP per l’apposizione di una firma elettronica usa e getta, valida esclusivamente per un’operazione.

 

Vuoi richiedere la Firma Digitale

in pochi minuti e senza file?

Adesso puoi con

UFFICIO CAMERALE!

SCOPRI FIRME DIGITALI DISPONIBILI