Codice OTP via SMS, per accessi più sicuri e sistemi protetti

Pubblicato il 6 Agosto 2019
  • Codice OTP via SMS

L’autenticazione tramite SMS, ovvero l’invio di un codice OTP via SMS, si sta rivelando uno dei metodi più diffusi ed economici per rendere più sicuri i processi di registrazione, di acquisto e/o di accesso ai dati sensibili online.

Adottato dai grandi del settore web (Google e Facebook in primis), l’invio di password temporanee (OTP) via SMS, oltre ad essere una delle best practice consigliate sta diventando uno standard di sicurezza adottato da sempre più numerosi siti web, piattaforme, e-commerce ed app.

 Ma cos’è un codice OTP?

OTP è l’acronimo di One time Password, in italiano traducibile come password temporanea. Si tratta quindi di una password da utilizzare una sola volta, una specie di codice usa e getta, che consente di verificare l’identità dell’utente prima che acceda ad un sistema protetto (account online e similari).  La definizione di OTP fornita da Wikipedia, ci aiuta a capire meglio cosa è e perché viene utilizzata una OTP:

Una One-Time Password è una password che è valida solo per una singola sessione di accesso o una transazione.

Il codice OTP evita una serie di carenze associate all’uso della tradizionale password (statica). Il più importante problema che viene risolto dalle OTP è che, al contrario delle password statiche, non sono vulnerabili agli attacchi con replica. Ciò significa che, se un potenziale intruso riuscisse ad intercettare una OTP che è stata già utilizzata per accedere a un servizio o eseguire una transazione, non sarebbe in grado di riutilizzarla, in quanto non sarà più valida.
Per questo motivo l’invio di un codice OTP via SMS è divenuto parte di una di quelle best practices consigliate da tutti gli esperti di sicurezza e che si inseriscono nel filone della “Strong Authentication” o “Two Factor Authentication”.

Come funziona l’invio di codici OTP via SMS?

L’utilizzo dell’OTP via SMS e dell’invio di password temporanee può variare leggermente da sistema a sistema, ma implica di norma alcuni step fondamentali:

codice OTP via SMS

  1. un utente tenta di accedere ad un sistema protetto
  2. il sistema genera una password temporanea che soddisfi i requisiti di sicurezza ritenuti necessari, ad esempio lunghezza, utilizzo di caratteri speciali o elementi di punteggiatura, etc
  3. il codice OTP viene inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente
  4. l’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato
  5. Il portale verifica la correttezza della password temporanea e consente all’utente di accedere in sicurezza al proprio account;

Codice OTP via SMS: gli usi più comuni

L’identificazione tramite One time Password via SMS si è diffusa prevalentemente in tre settori:

  • Processi di registrazione

Sempre più spesso l’SMS authentication viene utilizzata in sostituzione o in combinazione con la verifica dell’indirizzo email nei processi di registrazione su portali, piattaforme, e-commerce e app. In questi casi l’autenticazione via SMS può avvenire al momento della registrazione o dopo alcuni utilizzi dell’applicazione.

  • Processi di acquisto

In questo caso l’SMS authentication serve come metodo di sicurezza aggiuntivo, per garantire transizioni online sicure e proteggere dalle truffe. Fino a quando la transizione non è autenticata tramite l’inserimento della password ricevuta via SMS, l’ordine e/o il pagamento non vengono processati.

  • Accesso a dati sensibili

Sempre più enti pubblici e/o società che trattano dati sensibili utilizzano l’invio di codice OTP via SMS per autorizzare l’accesso a questo tipo di informazione, evitando così grossi rischi di intromissione a livello di privacy.

Perché integrare l’invio di codici OTP tramite SMS nel proprio sito web o e-commerce

Numerosi sono i vantaggi dell’adozione di un sistema di autenticazione via SMS, vediamoli più nel dettaglio:

  1. Non richiede nessun hardware – A differenza di altri metodi di Strong Authentication, l’invio di un codice OTP via SMS non richiede l’acquisto di nessun hardware per la generazione di password temporanee (ad esempio le chiavette per la creazione di token). I costi di implementazione del sistema calano quindi notevolmente.
  2. Sicurezza – Il messaggio SMS di autenticazione è inviato ad una SIM e deve essere letto. Delegando allo smartphone questo fattore di validazione si ha la certezza che l’utente finale sia in possesso della SIM ( a cui è legato un contratto con un operatore) per poter visualizzare ed inserire la password temporanea.
  3. Facile integrazione e gestione – Integrare l’OTP via SMS nel proprio processo (workflow) di registrazione o di acquisto è facile e veloce. L’integrazione può essere fatta tramite qualsiasi linguaggio di programmazione in maniera rapidissima (consulta l’apposita sezione 2 factor authentication del portale developers.trendoo.com). L’user-experience può essere customizzata tramite la personalizzazione di testo e mittente del messaggio.
  4. Globale e/o geolocalizzata – A seconda delle esigenze è possibile automatizzare l’invio di messaggi di SMS Authentication solamente ad alcune nazioni incrementando ulteriormente la sicurezza ed il controllo dei tuoi sistemi.
  5. Paghi in base all’utilizzo – Inviare password OTP via SMS non implica spese di set-up e/o costi fissi. I messaggi vengono scalati solo al momento di acquisizione di un nuovo registrato e/o utente.
  6. Facile ed immediato per l’utente finale – Ricevere ed aprire un SMS è facile ed immediato. Anche gli utenti finali meno esperti (e non dotati di smartphone) non riscontreranno problemi ad utilizzare questo tipo di mezzo.
  7. Monitoraggio del sistema – Grazie alle notifiche di ricezione, e alle statistiche consultabile sugli stati del messaggio è possibile monitorare il sistema di identificazione in qualunque momento.

Vorresti implementare un sistema di autenticazione tramite l’invio di codici OTP via SMS?

Attiva un account di trial gratuito su Trendoo e testa la nostra soluzione di 2FA grazie al credito gratuito che ti regaliamo:

Attiva trial gratuita


Nessuna risposta a "Codice OTP via SMS, per accessi più sicuri e sistemi protetti"


    Qualcosa da dire?

    L'html è consentito