Se hai mai usato un token hardware per approvare transazioni bancarie digitali o hai premuto su una YubiKey per generare un codice di login, hai utilizzato la tecnologia delle password monouso basate su HMAC (HOTP). Per aiutarti a capire come puoi usare l’HOTP per proteggere i tuoi account, esploreremo come funziona l’HOTP, i suoi vantaggi e limiti, e lo confronteremo con altri metodi OTP.

Cos’è l’HOTP?

HOTP sta per password monouso basata su HMAC. È un metodo di autenticazione a due fattori (2FA) che genera codici di login monouso su richiesta.

L’HMAC, o Hash-based Message Authentication Code (codice di autenticazione dei messaggi basato su hash), è una tecnica crittografica che utilizza una chiave segreta e una funzione di hash per produrre un valore sicuro e resistente alle manomissioni. L’HOTP applica l’HMAC insieme a un contatore per garantire che ogni codice di autenticazione sia unico e possa essere utilizzato una sola volta.

Poiché i codici HOTP rimangono validi finché non vengono utilizzati o sostituiti, sono ideali per il lavoro da remoto e altri ambienti in cui non è possibile una sincronizzazione temporale affidabile o una connettività costante.

Come funziona l’HOTP?

L’autenticazione HOTP si basa su due componenti condivisi: una chiave segreta e un contatore. Sia il dispositivo dell’utente sia il server di autenticazione memorizzano questi valori e li utilizzano per generare in modo indipendente lo stesso codice monouso.

Configurazione: quando viene configurato un token hardware, una chiave segreta viene condivisa tra il dispositivo e il server dell’applicazione e memorizzata in modo sicuro su entrambi i lati.

Generazione di un codice: il dispositivo utilizza una funzione di hash crittografica chiamata HMAC per combinare la chiave segreta con il valore corrente del contatore. Il risultato è una password monouso breve e imprevedibile.

Autenticazione: quando inserisci il codice HOTP, il server esegue lo stesso calcolo utilizzando la propria copia della chiave segreta e del contatore. Se i codici corrispondono, l’accesso viene consentito.

Spiegazione del sistema di contatori HOTP

L’HOTP si affida a un sistema di contatori univoco condiviso tra il tuo dispositivo e il server di autenticazione. Ogni volta che generi un nuovo codice, il contatore aumenta. Dopo un login riuscito, anche il server aggiorna il proprio contatore. Finché i contatori del dispositivo e del server rimangono sincronizzati, i codici corrisponderanno e ti consentiranno l’accesso.

Pensa all’HOTP come a un blocchetto di voucher numerati da strappare e utilizzare in sequenza. Un voucher già utilizzato non può essere riutilizzato e devi usare quello successivo. Il sistema di contatori HOTP funziona in modo simile.

Autenticazione HOTP vs. altri OTP

HOTP vs. OTP

Password monouso (OTP) è un termine generico che indica le varie password monouso che utilizziamo per la 2FA. L’HOTP è un tipo specifico di OTP che si affida a un sistema basato su contatori per generare i propri codici.

HOTP vs. TOTP

Le password monouso basate sul tempo (TOTP) generano automaticamente un nuovo codice ogni 30-60 secondi. L’esempio più comune di TOTP sono i codici generati dalle app di autenticazione. L’HOTP, al contrario, genera un nuovo codice solo quando richiesto, utilizzando un contatore anziché un timer.

Questa differenza influisce sulla sicurezza di ciascun metodo OTP. La rapida scadenza del TOTP offre ai malintenzionati una finestra temporale molto ridotta. Al contrario, i codici HOTP potrebbero rimanere validi per giorni o addirittura settimane.

Tuttavia, l’HOTP è più affidabile nelle situazioni in cui i dispositivi hanno orologi poco precisi. Ad esempio, apparecchiature in posizioni remote con connessioni internet deboli.

HOTP vs. codici SMS ed email

I codici OTP inviati tramite SMS ed email sono suscettibili di intercettazione perché devono viaggiare attraverso le reti cellulari e internet. L’HOTP genera i codici sul dispositivo, rendendolo più sicuro e garantendo al contempo un accesso costante anche in caso di interruzioni della rete.

Quali sono i vantaggi e i limiti dell’HOTP?

I vantaggi dell’autenticazione HOTP

Ci sono diversi vantaggi nell’usare l’HOTP come metodo OTP preferito:

  • Funziona offline: l’HOTP può funzionare offline, il che lo rende ideale per posizioni con accesso a internet limitato.
  • Nessuna pressione temporale: i codici HOTP non scadono automaticamente, quindi puoi prenderti tutto il tempo necessario per inserire il codice.
  • Algoritmo riconosciuto: l’HOTP è definito da RFC 4226(nuova finestra), il che garantisce la compatibilità tra i vari fornitori di software e token hardware di diversi produttori.
  • Meno dipendenze: il sistema basato su contatore dell’HOTP non si affida a orologi precisi o a una connettività continua, il che può renderlo più prevedibile in determinati ambienti.

I limiti dell’autenticazione HOTP

Come per tutte le tecnologie, l’HOTP comporta alcune considerazioni importanti:

  • Validità indefinita: i codici HOTP possono rimanere attivi a tempo indeterminato se non vengono generati nuovi codici. Ciò offre ai malintenzionati più tempo per sfruttare i codici rubati.
  • Sincronizzazione del contatore: se generi codici senza utilizzarli, i contatori del tuo dispositivo e del server possono desincronizzarsi, causando errori di autenticazione.
  • Gestione manuale: poiché i codici non scadono automaticamente, devi ricordarti di generare nuovi codici dopo ogni utilizzo.

Fai un passo avanti verso una maggiore sicurezza delle password

Sebbene l’HOTP possa non offrire i vantaggi di sicurezza della scadenza automatica o la comodità dei codici SMS, il suo sistema basato su contatore offre vantaggi unici. È un sistema di 2FA collaudato con un accesso offline affidabile, e l’assenza di pressione temporale potrebbe renderlo preferibile per alcuni.
Per gestire facilmente le tue password e i codici 2FA in un’unica posizione crittografata, prendi in considerazione l’uso di Proton Pass. Il nostro gestore di password sicuro con un autenticatore 2FA integrato mantiene tutte le tue credenziali e i codici 2FA protetti con una crittografia end-to-end completa. Proteggere la tua vita digitale in tutta comodità non è mai stato così semplice.