Author

Topic: Sicurezza: verifica a due passi con OTP (Read 689 times)

full member
Activity: 170
Merit: 102
pecunia non olet
April 14, 2013, 02:33:01 PM
#1
Molti di voi che hanno un c/c con funzionalità di banking online saranno dotati di una di quelle chiavette che generano un PIN di 6 cifre detto OTP (One Time Password).

I PIN OTP sono delle "password usa e getta" di volta in volta differenti, generate tipicamente ogni 30 secondi, da utilizzare per il login e/o la disposizione di movimenti in uscita da proprio c/c.

Se una di queste OTP fosse intercettata, diverrebbe inutile dopo poco tempo.

Questo metodo di verifica dell'identità è detta verifica a due passi (2 step verification) perché si svolge in questo modo:
1. inserimento di userid e passord (primo passo);
2. inserimento di un PIN OTP (secondo passo).

Un meccanismo identico è stato concepito da Google per consentire un accesso più sicuro sia ai suoi servizi che a servizi di terzi: ci sono applicazioni per tutte le piattaforme mobili (android, iOs, symbian) che trasformano il proprio cellulare in un generatore di OTP, previo inserimento di una chiave privata madre (seed o seme) assegnata.

Attenzione:
1. stampare sempre la chiave madre su un pezzo di carta, altrimenti se si perde il cellulare non sarà possibile effettuare il login;
2. il cellulare deve mantenere la sincronia di data e ora.

Attualmente sia Bitstamp, MtGox e Blockchain.info offrono una autenticazione a due passi con Timed OTP (TOTP, usata da Google Authenticator).

Lo stesso Bitfloor, ma con HOTP (non compatibile con Google Authenticator).

Jump to: