L’autenticazione tramite SMS, ovvero l’invio di un codice OTP via SMS, si sta rivelando uno dei metodi più diffusi ed economici per rendere più sicuri i processi di registrazione, di acquisto e/o di accesso ai dati sensibili online.
Adottato dai grandi del settore web (Google e Facebook in primis), l’invio di password temporanee (OTP) via SMS, sta diventando uno standard di sicurezza adottato da sempre più numerosi siti web, piattaforme, e-commerce ed app.
Ma cos’è un codice OTP?
OTP è l’acronimo di One time Password, in italiano traducibile come password temporanea. Si tratta quindi di una password da utilizzare una sola volta, una specie di codice usa e getta, che consente di verificare l’identità dell’utente prima che acceda ad un sistema protetto (account online e similari). La definizione di OTP fornita da Wikipedia, ci aiuta a capire meglio cosa è e perché viene utilizzata una OTP:
Una One-Time Password è una password che è valida solo per una singola sessione di accesso o una transazione.
Il codice OTP evita una serie di carenze associate all’uso della tradizionale password (statica). Il più importante problema che viene risolto dalle OTP è che, al contrario delle password statiche, non sono vulnerabili agli attacchi con replica. Ciò significa che, se un potenziale intruso riuscisse ad intercettare una OTP che è stata già utilizzata per accedere a un servizio, non sarebbe in grado di riutilizzarla, in quanto non più valida.
Per questo motivo l’invio di un codice OTP via SMS è divenuto parte di una di quelle best practices consigliate da tutti gli esperti di sicurezza e che si inseriscono nel filone della “Strong Authentication” o “Two Factor Authentication”.
Come funziona l’invio di codici OTP via SMS?
L’utilizzo dell’OTP via SMS e dell’invio di password temporanee può variare leggermente da sistema a sistema, ma implica di norma alcuni step fondamentali:
- Un utente tenta di accedere ad un sistema protetto
- Il sistema genera una password temporanea che soddisfi i requisiti di sicurezza ritenuti necessari, ad esempio lunghezza, utilizzo di caratteri speciali o elementi di punteggiatura, etc
- Il codice OTP viene inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente
- L’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato
- Il portale verifica la correttezza della password temporanea e consente all’utente di accedere in sicurezza al proprio account;
Codice OTP via SMS: gli usi più comuni
L’identificazione tramite One time Password via SMS si è diffusa prevalentemente in tre settori:
Processi di registrazione
Sempre più spesso l’SMS authentication viene utilizzata in sostituzione o in combinazione con la verifica dell’indirizzo email nei processi di registrazione su portali, piattaforme, e-commerce e app. In questi casi l’autenticazione via SMS può avvenire al momento della registrazione o dopo alcuni utilizzi dell’applicazione.
Processi di acquisto
In questo caso l’SMS authentication serve come metodo di sicurezza aggiuntivo, per garantire transizioni online sicure e proteggere dalle truffe. Fino a quando la transizione non è autenticata tramite l’inserimento della password ricevuta via SMS, l’ordine e/o il pagamento non vengono processati.
Accesso a dati sensibili
Sempre più enti pubblici e/o società che trattano dati sensibili utilizzano l’invio di codice OTP via SMS per autorizzare l’accesso a questo tipo di informazione, evitando così grossi rischi di intromissione a livello di privacy. Questo è il motivo per cui l’SMS OTP è il più utilizzato nei servizi bancari e di home banking.
Perché integrare l’invio di codici OTP tramite SMS nel proprio sito web o e-commerce
Numerosi sono i vantaggi dell’adozione di un sistema di autenticazione via SMS, vediamoli più nel dettaglio:
- Facile integrazione e gestione – Integrare l’OTP via SMS nel proprio processo (workflow) di registrazione o di acquisto è facile e veloce grazie al Gateway di Esendex. Questa è la soluzione ideale per chi desidera collegare l’invio di SMS al proprio sito, gestionale o CRM tramite API Rest SMS, ed è il motivo per cui noi di Esendex ci teniamo a riservare un’area dedicata agli sviluppatori che vogliono far comunicare il proprio software con la piattaforma di invio SMS.
- Non richiede nessun hardware – L’invio di un codice OTP via SMS non richiede l’acquisto di nessun hardware per la generazione di password temporanee (ad esempio le chiavette per la creazione di token). I costi di implementazione del sistema calano quindi notevolmente.
- Sicurezza – Il messaggio SMS di autenticazione è inviato ad una SIM e deve essere letto. Delegando allo smartphone questo fattore di validazione si ha la certezza che l’utente finale sia in possesso della SIM (a cui è legato un contratto con un operatore) per poter visualizzare ed inserire la password temporanea.
- Globale e/o geolocalizzata – A seconda delle esigenze è possibile automatizzare l’invio di messaggi di SMS Authentication solamente ad alcune nazioni incrementando ulteriormente la sicurezza ed il controllo dei tuoi sistemi.
- Paghi in base all’utilizzo – Inviare password OTP via SMS non implica spese di set-up e/o costi fissi. I messaggi vengono scalati solo al momento di acquisizione di un nuovo registrato e/o utente.
- Facile ed immediato per l’utente finale – Ricevere ed aprire un SMS è facile ed immediato. Anche gli utenti finali meno esperti (e non dotati di smartphone) non riscontreranno problemi ad utilizzare questo tipo di mezzo.
- Monitoraggio del sistema – Grazie alle notifiche di ricezione, e alle statistiche consultabili sugli stati del messaggio è possibile monitorare il sistema di identificazione in qualunque momento.
Vorresti implementare un sistema di autenticazione tramite l’invio di codici OTP via SMS? Contatta subito i nostri consulenti di comunicazione mobile per ottenere tutte le informazioni.
Contattaci
Vorresti usare l’SMS non solo per password temporanee ma anche per inviare promo ed informazioni ai tuoi clienti?