Title: Sicurezza: verifica a due passi con OTP Post by: jcyb9 on April 14, 2013, 07:33:01 PM Molti di voi che hanno un c/c con funzionalità di banking online saranno dotati di una di quelle chiavette che generano un PIN di 6 cifre detto OTP (One Time Password).
I PIN OTP sono delle "password usa e getta" di volta in volta differenti, generate tipicamente ogni 30 secondi, da utilizzare per il login e/o la disposizione di movimenti in uscita da proprio c/c. Se una di queste OTP fosse intercettata, diverrebbe inutile dopo poco tempo. Questo metodo di verifica dell'identità è detta verifica a due passi (2 step verification) perché si svolge in questo modo: 1. inserimento di userid e passord (primo passo); 2. inserimento di un PIN OTP (secondo passo). Un meccanismo identico è stato concepito da Google (http://www.google.it/landing/2step/) per consentire un accesso più sicuro sia ai suoi servizi che a servizi di terzi: ci sono applicazioni per tutte le piattaforme mobili (android, iOs, symbian) che trasformano il proprio cellulare in un generatore di OTP, previo inserimento di una chiave privata madre (seed o seme) assegnata. Attenzione: 1. stampare sempre la chiave madre su un pezzo di carta, altrimenti se si perde il cellulare non sarà possibile effettuare il login; 2. il cellulare deve mantenere la sincronia di data e ora. Attualmente sia Bitstamp, MtGox e Blockchain.info offrono una autenticazione a due passi con Timed OTP (TOTP, usata da Google Authenticator). Lo stesso Bitfloor, ma con HOTP (non compatibile con Google Authenticator). |