Innanzitutto, partiamo con lo spiegare cos’è e come funziona un codice OTP, metodo di accesso ed identificazione più diffuso nei processi di registrazione e autenticazione.
L’acronimo OTP deriva dal termine inglese One-Time Password che in italiano significa “password valida una sola volta”. Il codice OTP altro non è che una password usa e getta, valida appunto soltanto per una singola sessione di accesso o una transazione con elevanti standard di sicurezza. Tale password non può essere memorizzata e richiede, quindi, una tecnologia supplementare come uno smartphone o un token fisico per poter essere utilizzata.
Un codice OTP a differenza di una password non è vulnerabile ai replay-attack (attacchi con replica), ossia quegli attacchi mirati ad impossessarsi di una credenziale di autenticazione, comunicata da un host ad un altro, per utilizzarla successivamente simulando l’identità dell’utente.
In pratica, anche se un potenziale intruso riesce ad intercettare una password usa e getta già utilizzata, non potrà riutilizzarla poiché non più valida.
Il codice OTP può essere associato ad altri elementi di autenticazione come, ad esempio, password dell’utente o PIN della carta di credito. In questo caso si utilizzerà l’autenticazione a due fattori, conosciuta anche come Two Factor Authentication (TFA), un protocollo di sicurezza che si basa sull’utilizzo congiunto di due metodi di autenticazione al fine di prevenire la violazione dei dati sensibili.
Il codice OTP: come funzionano le One-Time Password
Un codice OTP è una password usa e getta formata da un codice alfanumerico che viene generato in automatico da appositi dispositivi, detti token, oppure inviato all’utente tramite SMS, e-mail o applicazioni per smartphone.
Ogni password usa e getta viene generata applicando una funzione crittografica ad una serie di valori univoca. Gli algoritmi sono abbastanza diversi tra loro per evitare che un hacker possa prevedere la OTP futura dopo aver analizzato le precedenti.
Ecco quali sono i diversi approcci per la generazione delle One-Time Password:
- algoritmi basati sulla sincronizzazione temporale tra server di autenticazione e client che fornisce la password – in questo caso le OTP sono valide solo per un breve periodo di tempo e il valore da cui viene generata la OTP è l’ora corrente. In genere, un codice OTP basato sulla sincronizzazione temporale è collegato a un componente hardware chiamato token. Il token è un dispositivo personale di sicurezza dotato di display e dal design simile a una tradizionale chiavetta USB;
- algoritmi matematici che generano una nuova password in base alla password precedente – il valore da cui viene generata la OTP è un numero all’interno di una sequenza predefinita;
- algoritmi matematici dove la password è basata su una challenge (per esempio, un numero casuale scelto dal server di autenticazione o dai dettagli della transazione) e/o su un contatore.
Per attivare l’autenticazione a due fattori sugli account che supportano questa possibilità è possibile utilizzare Microsoft Authenticator.
Microsoft Authenticator: generatore di codici OTP
Si tratta di un’applicazione, molto simile a Google Authenticator, in cui è possibile beneficiare di un ulteriore livello di sicurezza: oltre all’inserimento di nome utente e password, infatti, è necessario fornire un’autorizzazione aggiuntiva utilizzando un dispositivo come smartphone o tablet.
L’autenticazione a due fattori fa sì che non si possa superare l’autenticazione stessa pur possedendo le credenziali corrette per l’accesso ad un account altrui in quanto in collegamento diretto con un dispositivo reale su cui viene inviata una richiesta di conferma.
Un malintenzionato non possedendo fisicamente tale dispositivo non potrebbe accedere all’account ed il proprietario verrebbe notificato di un tentativo di accesso, avviando le opportune verifiche.
Come funziona Microsoft Authenticator
Come accennato in precedenza, Microsoft Authenticator funziona esattamente come Google Authenticator generando dinamicamente dei codici OTP (one-time-password) che devono essere digitati per l’accesso all’account corrispondente. Questo per gli account Facebook, Google e così via…
Dopo aver scaricato e installato l’app sul proprio dispositivo mobile basterà toccare i tre puntini in alto a destra e selezionare Aggiungi account.
Scegliendo Altro account sarà possibile configurare l’accesso a Google, Facebook e altre applicazioni mediante autenticazione a due fattori e generazione di un OTP.
Nella sezione Autenticazione a due fattori o Verifica in due passaggi degli account Google, Facebook o di piattaforme di terze parti basterà inquadrare il codice QR visualizzato servendosi dell’app Microsoft Authenticator e verrà generato subito un OTP che consentirà di effettuare il login in sicurezza.
Ogni volta che si accederà al proprio account da un dispositivo ancora sconosciuto all’applicazione web usando nome utente e password corretti, l’autenticazione a due fattori imporrà l’introduzione del codice OTP generato nell’app Microsoft Authenticator (altrimenti chiamato codice per password monouso).
Proteggere gli account Microsoft con Microsoft Authenticator
Nel caso di account Microsoft (personali o aziendali), l’applicazione mette a disposizione un percorso diverso, ancora più veloce. Dopo l’inserimento di username e password viene richiesta solamente l’approvazione dell’accesso tramite smartphone o tablet.
Per attivare l’autenticazione a due fattori su un account Microsoft basta toccare i tre puntini in alto a destra, scegliere Aggiungi account quindi Account personale o Account aziendale o dell’istituto di istruzione. Dopo aver inserito le credenziali corrette, l’account Microsoft sarà immediatamente protetto con l’autenticazione a due fattori.
Per autorizzare l’operazione bisognerà collegarsi con lo smartphone, controllare le notifiche provenienti dall’app Microsoft Authenticator quindi toccare Approva in corrispondenza della richiesta Approvare la richiesta di accesso contenente il codice di verifica mostrato durante l’accesso.
L’applicazione chiederà di inserire il PIN, la sequenza grafica o di effettuare lo sblocco previo riconoscimento facciale o dell’impronta digitale secondo le preferenze impostate dall’utente a livello di sistema operativo.
Microsoft Authenticator può essere utilizzato anche come Password Manager per Android e iOS. Entrando nella sezione “Password” posta in basso, si possono memorizzare le credenziali usate sul web e nelle app abilitando il completamento automatico.
Accedendo alle impostazioni di Microsoft Authenticator e scorrendo fino alla sezione Impostazioni di riempimento automatico è possibile impostare l’applicazione come app predefinita per la gestione delle password nei siti e nelle app.
Protezione e consapevolezza
Proteggere i nostri dati da attacchi informatici è sempre più importante al giorno d’oggi e la tecnologia, fortunatamente, mette a disposizione strumenti sempre più avanzati per tutelare tali informazioni. Le password sono vulnerabili – soprattutto se sottovalutate – pertanto è fondamentale ricorrere a metodi all’avanguardia che ci permettono di aumentare il livello di difesa.
Attraverso la conoscenza e la consapevolezza, acquisite magari con un corso di sicurezza informatica, è possibile prevenire, difendersi e reagire da attacchi ed incidenti. Se, invece, desideri o necessiti di approfondire le tue conoscenze sulle applicazioni Microsoft ti consigliamo il corso Office 365. Be safe!
