L’autenticazione a due fattori che spesso avviene tramite l’invio di un SMS, ovvero l’invio di un codice OTP via SMS, è uno dei metodi più diffusi ed economici per rendere più sicuri i processi di registrazione, di acquisto e/o di accesso ai dati sensibili online. Adottato dai grandi del settore web (Google e Facebook in primis), l’invio di password temporanee via SMS non deve essere più considerato un lusso, ma lo standard di sicurezza che tutti i siti web, piattaforme, e-commerce ed app dovrebbero offrire.
Cos’è un codice OTP?
OTP è l’acronimo di One Time Password, in italiano traducibile come password temporanea. Si tratta quindi di una password da utilizzare una sola volta, un codice usa e getta, che consente di verificare l’identità dell’utente prima che acceda ad un sistema protetto (account online e similari). La definizione di OTP fornita da Wikipedia, ci aiuta a capire meglio cosa è e perché viene utilizzata una OTP:
Una One-Time Password è una password che è valida solo per una singola sessione di accesso o una transazione.
Il codice OTP risponde a un bisogno sempre maggiore di incrementare la sicurezza online. Infatti, non presenta una serie di carenze tipicamente associate all’uso della password tradizionale, che è necessariamente statica. Le OTP via SMS vengono generate in maniera pseudocausale e hanno una durata limitata nel tempo. Per questo motivo, al contrario delle password statiche, non sono vulnerabili agli attacchi con replica. Ciò significa che, se un potenziale intruso riuscisse ad intercettare una OTP che è stata già utilizzata per accedere a un servizio, non sarebbe in grado di riutilizzarla, in quanto non più valida.
Così l’invio di un codice OTP via SMS è divenuto parte di una di quelle best practices consigliate da tutti gli esperti di sicurezza e che si inseriscono nel filone della “Strong Authentication” o “Two Factor Authentication”.
Come funziona l’invio di codici OTP via SMS?
L’utilizzo dell’SMS OTP e dell’invio di password temporanee può variare leggermente da sistema a sistema, ma implica di norma alcuni step fondamentali:
- Un utente tenta di accedere ad un sistema protetto con la sua email e password.
- Se corretti, il sistema genera una password temporanea che soddisfi i requisiti di sicurezza ritenuti necessari, ad esempio lunghezza, utilizzo di caratteri speciali o elementi di punteggiatura.
- Il codice OTP viene inviato all’utente via SMS, al numero di telefono cellulare specificato dall’utente.
- L’utente finale riceve il codice OTP via SMS e lo inserisce nell’apposito spazio indicato.
- Il portale verifica la correttezza della password temporanea e consente all’utente di accedere in sicurezza al proprio account.
Codice OTP via SMS: gli usi più comuni
L’utilizzo di One Time Password via SMS è diffuso prevalentemente in tre scenari.
Processi di registrazione
Sempre più spesso l’SMS authentication viene utilizzata in sostituzione o in combinazione con la verifica dell’indirizzo email nei processi di registrazione su portali, piattaforme, e-commerce e app. In questi casi l’autenticazione via SMS OTP può avvenire al momento della registrazione o dopo alcuni utilizzi dell’applicazione.
Processi di acquisto
In questo caso l’invio tramite SMS di un codice OTP serve come metodo di sicurezza aggiuntivo, per garantire transizioni online sicure e proteggere dalle truffe. Fino a quando la transizione non è autenticata tramite l’inserimento della password ricevuta via SMS, l’ordine e/o il pagamento non vengono processati.
Accesso a dati sensibili
Sempre più enti pubblici e/o società che trattano dati sensibili utilizzano l’invio di codice OTP via SMS per autorizzare l’accesso a questo tipo di informazione, evitando così grossi rischi di intromissione a livello di privacy. Questo è il motivo per cui l’SMS OTP è il più utilizzato nei servizi bancari e di home banking.
Perché integrare l’invio di codici OTP tramite SMS nel proprio sito web o e-commerce
L’adozione di un sistema di autenticazione a due fattori via SMS presenta numerosi vantaggi.
- Non richiede nessun hardware – L’invio di un codice OTP via SMS non richiede l’acquisto di nessun hardware per la generazione di password temporanee (ad esempio le chiavette per la creazione di token). I costi di implementazione del sistema calano quindi notevolmente.
- Sicurezza – Il messaggio SMS di autenticazione è inviato ad una SIM e deve essere letto. Delegando allo smartphone questo fattore di validazione si ha la certezza che l’utente finale sia in possesso della SIM (a cui è legato un contratto con un operatore) per poter visualizzare ed inserire la password temporanea.
- Globale e/o geolocalizzata – A seconda delle esigenze è possibile automatizzare l’invio di messaggi di SMS authentication solamente ad alcune nazioni incrementando ulteriormente la sicurezza ed il controllo dei tuoi sistemi.
- Paghi in base all’utilizzo – Inviare password OTP via SMS non implica spese di set-up e/o costi fissi. I messaggi vengono scalati solo al momento di acquisizione di un nuovo registrato e/o utente.
- Facile ed immediato per l’utente finale – Ricevere ed aprire un SMS è facile ed immediato. Anche gli utenti finali meno esperti (e non dotati di smartphone) non riscontreranno problemi ad utilizzare questo tipo di mezzo.
- Monitoraggio del sistema – Grazie alle notifiche di ricezione, e alle statistiche consultabili sugli stati del messaggio è possibile monitorare il sistema di identificazione in qualunque momento.
Integrati con Esendex
Grazie al Gateway SMS di Esendex, integrare l’OTP via SMS nel proprio processo di registrazione o di acquisto è facile e veloce. Questa è la soluzione ideale per chi desidera collegare l’invio di SMS al proprio sito, gestionale o CRM tramite API Rest SMS, ed è il motivo per cui noi di Esendex ci teniamo a riservare un’area dedicata agli sviluppatori che vogliono far comunicare il proprio software con la piattaforma di invio SMS.
Comunica ai tuoi clienti le novità in fatto di sicurezza
Il tema sicurezza è diventato centrale, soprattutto per il settore dei servizi finanziari, ma anche retail e e-commerce, pubblica amministrazione e sanità. Il nostro consiglio è di tenerti sempre aggiornato sugli ultimi standard di sicurezza e introdurli nei tuoi sistemi il più velocemente possibile. Questi aggiornamenti saranno molto apprezzati dai tuoi clienti e utenti, in quanto dimostrano che la tua azienda è attenta e investe in cybersecurity. Spesso questi cambiamenti comportano però dei cambiamenti nella user experience e nel modo in cui i tuoi servizi possono essere fruiti. Per questo prima di implementarli, ricordati di comunicarlo chiaramente sia via email, che SMS, in modo che non risulti come una sorpresa.
Se desideri implementare un sistema di autenticazione a due fattori tramite l’invio di codici OTP via SMS, contatta uno dei nostri esperti di comunicazione mobile che ti guiderà in questo processo.