Codice OTP via SMS, per accessi più sicuri e sistemi protetti

Categoria:IT e Software, Servizi, Servizi finanziari

L’autenticazione tramite SMS, ovvero l’invio di un codice OTP via SMS, si sta rivelando uno dei metodi più diffusi ed economici per rendere più sicuri i processi di registrazione, di acquisto e/o di accesso ai dati sensibili online.

Adottato dai grandi del settore web (Google e Facebook in primis), l’invio di password temporanee (OTP) via SMS, sta diventando uno standard di sicurezza adottato da sempre più numerosi siti web, piattaforme, e-commerce ed app.

 Ma cos’è un codice OTP?

OTP è l’acronimo di One time Password, in italiano traducibile come password temporanea. Si tratta quindi di una password da utilizzare una sola volta, una specie di codice usa e getta, che consente di verificare l’identità dell’utente prima che acceda ad un sistema protetto (account online e similari).  La definizione di OTP fornita da Wikipedia, ci aiuta a capire meglio cosa è e perché viene utilizzata una OTP:

Una One-Time Password è una password che è valida solo per una singola sessione di accesso o una transazione.

Il codice OTP evita una serie di carenze associate all’uso della tradizionale password (statica). Il più importante problema che viene risolto dalle OTP è che, al contrario delle password statiche, non sono vulnerabili agli attacchi con replica. Ciò significa che, se un potenziale intruso riuscisse ad intercettare una OTP che è stata già utilizzata per accedere a un servizio, non sarebbe in grado di riutilizzarla, in quanto non più valida.
Per questo motivo l’invio di un codice OTP via SMS è divenuto parte di una di quelle best practices consigliate da tutti gli esperti di sicurezza e che si inseriscono nel filone della “Strong Authentication” o “Two Factor Authentication”.

Come funziona l’invio di codici OTP via SMS?

L’utilizzo dell’OTP via SMS e dell’invio di password temporanee può variare leggermente da sistema a sistema, ma implica di norma alcuni step fondamentali:

codice OTP via SMS

  1. Un utente tenta di accedere ad un sistema protetto
  2. Il sistema genera una password temporanea che soddisfi i requisiti di sicurezza ritenuti necessari, ad esempio lunghezza, utilizzo di caratteri speciali o elementi di punteggiatura, etc
  3. Il codice OTP viene inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente
  4. L’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato
  5. Il portale verifica la correttezza della password temporanea e consente all’utente di accedere in sicurezza al proprio account;

Codice OTP via SMS: gli usi più comuni

L’identificazione tramite One time Password via SMS si è diffusa prevalentemente in tre settori:

Processi di registrazione

Sempre più spesso l’SMS authentication viene utilizzata in sostituzione o in combinazione con la verifica dell’indirizzo email nei processi di registrazione su portali, piattaforme, e-commerce e app. In questi casi l’autenticazione via SMS può avvenire al momento della registrazione o dopo alcuni utilizzi dell’applicazione.

Processi di acquisto

In questo caso l’SMS authentication serve come metodo di sicurezza aggiuntivo, per garantire transizioni online sicure e proteggere dalle truffe. Fino a quando la transizione non è autenticata tramite l’inserimento della password ricevuta via SMS, l’ordine e/o il pagamento non vengono processati.

Accesso a dati sensibili

Sempre più enti pubblici e/o società che trattano dati sensibili utilizzano l’invio di codice OTP via SMS per autorizzare l’accesso a questo tipo di informazione, evitando così grossi rischi di intromissione a livello di privacy. Questo è il motivo per cui l’SMS OTP è il più utilizzato nei servizi bancari e di home banking.

Perché integrare l’invio di codici OTP tramite SMS nel proprio sito web o e-commerce

Numerosi sono i vantaggi dell’adozione di un sistema di autenticazione via SMS, vediamoli più nel dettaglio:

  1. Facile integrazione e gestione – Integrare l’OTP via SMS nel proprio processo (workflow) di registrazione o di acquisto è facile e veloce grazie al Gateway di Esendex. Questa è la soluzione ideale per chi desidera collegare l’invio di SMS al proprio sito, gestionale o CRM tramite API Rest SMS, ed è il motivo per cui noi di Esendex ci teniamo a riservare un’area dedicata agli sviluppatori che vogliono far comunicare il proprio software con la piattaforma di invio SMS.
  2. Non richiede nessun hardware – L’invio di un codice OTP via SMS non richiede l’acquisto di nessun hardware per la generazione di password temporanee (ad esempio le chiavette per la creazione di token). I costi di implementazione del sistema calano quindi notevolmente.
  3. Sicurezza – Il messaggio SMS di autenticazione è inviato ad una SIM e deve essere letto. Delegando allo smartphone questo fattore di validazione si ha la certezza che l’utente finale sia in possesso della SIM (a cui è legato un contratto con un operatore) per poter visualizzare ed inserire la password temporanea.
  4. Globale e/o geolocalizzata – A seconda delle esigenze è possibile automatizzare l’invio di messaggi di SMS Authentication solamente ad alcune nazioni incrementando ulteriormente la sicurezza ed il controllo dei tuoi sistemi.
  5. Paghi in base all’utilizzo – Inviare password OTP via SMS non implica spese di set-up e/o costi fissi. I messaggi vengono scalati solo al momento di acquisizione di un nuovo registrato e/o utente.
  6. Facile ed immediato per l’utente finale – Ricevere ed aprire un SMS è facile ed immediato. Anche gli utenti finali meno esperti (e non dotati di smartphone) non riscontreranno problemi ad utilizzare questo tipo di mezzo.
  7. Monitoraggio del sistema – Grazie alle notifiche di ricezione, e alle statistiche consultabili sugli stati del messaggio è possibile monitorare il sistema di identificazione in qualunque momento.

Vorresti implementare un sistema di autenticazione tramite l’invio di codici OTP via SMS? Contatta subito i nostri consulenti di comunicazione mobile per ottenere tutte le informazioni.

Contattaci

Vorresti usare l’SMS non solo per password temporanee ma anche per inviare promo ed informazioni ai tuoi clienti?

Scopri tutte le soluzioni

Author Avatar
Elisa Leoni

Marketer da oltre 10 anni ed appassionata di viaggi e lingue, amo il mondo della comunicazione in tutte le sue splendide forme e nel tempo libero adoro creare oggetti handmade.