Molti di voi che hanno un c/c con funzionalità di banking online saranno dotati di una di quelle chiavette che generano un PIN di 6 cifre detto OTP (One Time Password).
I PIN OTP sono delle "password usa e getta" di volta in volta differenti, generate tipicamente ogni 30 secondi, da utilizzare per il login e/o la disposizione di movimenti in uscita da proprio c/c.
Se una di queste OTP fosse intercettata, diverrebbe inutile dopo poco tempo.
Questo metodo di verifica dell'identità è detta verifica a due passi (2 step verification) perché si svolge in questo modo:
1. inserimento di userid e passord (primo passo);
2. inserimento di un PIN OTP (secondo passo).
Un meccanismo identico è stato concepito da Google per consentire un accesso più sicuro sia ai suoi servizi che a servizi di terzi: ci sono applicazioni per tutte le piattaforme mobili (android, iOs, symbian) che trasformano il proprio cellulare in un generatore di OTP, previo inserimento di una chiave privata madre (seed o seme) assegnata.
Attenzione:
1. stampare sempre la chiave madre su un pezzo di carta, altrimenti se si perde il cellulare non sarà possibile effettuare il login;
2. il cellulare deve mantenere la sincronia di data e ora.
Attualmente sia Bitstamp, MtGox e Blockchain.info offrono una autenticazione a due passi con Timed OTP (TOTP, usata da Google Authenticator).
Lo stesso Bitfloor, ma con HOTP (non compatibile con Google Authenticator).
Topic: Sicurezza: verifica a due passi con OTP (Read 685 times)
Jump to: