Soluzioni OTP per la Strong Authentication

One Time Password (OTP) è un metodo di autenticazione che prevede l'uso di un dispositivo personale da consegnare all'utente tramite il quale è possibile generare dinamicamente dei codici di autenticazione sicuri che vengono verificati dal server di autenticazione.
La maggiore sicurezza di un OTP rispetto ai classici UserId e Password dipende dall'utilizzo di una chiave segreta nascosta nel dispositivo che viene usata per generare i token di autenticazione e che non può essere duplicata con la stessa facilità con cui si copiano l'ID e la password dell'utente.

Esistono innumerevoli dispositivi OTP, sia di tipo hardware sia software.
I dispositivi hardware si differenziano per la qualità costruttiva e per le funzionalità offerte. Per quanto la funzione base sia possibile con l'uso di un display e di un bottone che attiva la generazione di un nuovo token, i dispositivi più complessi propongono funzionalità differenti e a volte una tastiera per permettere una interazione più articolata.
I dispositivi software invece sono pensati per essere installati su un elaboratore quale può essere il PC dell'utente o il suo smartphone.
La varietà di dispositivi si accompagna con la presenza di molti fornitori diversi che propongono soluzioni di qualità e caratteristiche specifiche su cui vale la pena di soffermarsi per effettuare la giusta scelta.
Il prodotto PkBox OTP è in grado di interfacciare i principali vendor di soluzioni OTP e di presentare una interfaccia di autenticazione indipendente dal vendor adottato. Questo permette di costruire soluzioni di Strong Authentication che siano indipendenti dal fornitore di dispositivi e che siano in grado di gestire diversi metodi di autenticazione in funzione dell'utente e delle sue esigenze specifiche di sicurezza.

Contromisure per gli attacchi Man In The Middle

L'uso di password e di OTP si prestano ad un attacco del tipo Man In The Middle.
Il furto del token da parte di un intruso che intercetta il pacchetto con le informazioni di autenticazione può aprire alla possibilità di una frode difficilmente rilevabile e quindi molto pericolosa. Per impedire che questo accada, Intesi propone il meccanismo SecurePin.
Prima dell'invio dei dati di accesso al servizio o di autorizzazione di una transazione, la coppia PIN e OTP viene crittografata utilizzando la chiave pubblica del servizio di autenticazione.
Vengono quindi inviate sulla rete solo informazioni cifrate che non possono essere decifrate se non si è in possesso della corrispondente chiave privata.
Tale chiave privata viene generata e protetta in un dispositivo crittografico certificato FIPS Livello 3 o Common Criteria EAL4+ e quindi assolutamente sicuro.

Dal PinCard alla Smartcard

La dinamica con cui evolvono i servizi su Internet comporta una paragonabile dinamica per gli strumenti di autenticazione.
Spesso occorre adeguare i meccanismi di sicurezza del sito in funzione del cliente e non è sempre possibile mantenere la completa omogeneità degli strumenti di autenticazione su tutti i servizi erogati. Agganciare le funzionalità di autenticazione di PkBox può essere allora la soluzione ideale per chi deve convivere con diversi sistemi di autenticazione e non desidera ogni volta implementare un nuova interfaccia per adeguarsi ai requisiti dell'ennesimo metodo da integrare.
I prodotti di sicurezza PkSuite propongono una soluzione generale alla Strong Authentication e con un'unica interfaccia API, permettono di supportare i più diffusi metodi di autenticazione attualmente utilizzati dalle aziende.
Il metodo più semplice prevede l'uso di PinCard. Su una card plastica viene stampata una tabella di Pin che vengono utilizzati dall'utente per comporre un codice di autenticazione in base alla richiesta proveniente dal server. I codici Pin vengono generati tramite algoritmi crittografici sulla base di una chiave segreta che impedisce la riproduzione fraudolenta della PinCard.
Dei meccanismi OTP si è già parlato. Sono supportati gli OTP di Rsa, di Vasco e quelli prodotti secondo lo standard open source htp.
Il metodo di autenticazione più sicuro in assoluto è infine quello basato su Smartcard che opera una autenticazione che utilizza la firma elettronica di un token per verificare che l'utente sia effettivamente chi dichiara di essere.