Un’abitudine molto diffusa tra gli utenti della rete è quella di accedere ai suoi profili online utilizzando sempre le stesse password, mantenendole per lunghi periodi, o utilizzando le stesse parole d’accesso per differenti profili. Questa abitudine mette a serio rischio la sicurezza dei dati online. Per mantenere la sicurezza di un profilo online, infatti, è fondamentale cambiare con regolarità le password di accesso. Tuttavia, l’operazione può rilevarsi molto complessa, soprattutto quando le password sono condivise da più utenti in ambito aziendale. La soluzione migliore per ovviare al problema della violazione delle password sono le password TOTP. TOTP è un acronimo che sta per “Time-based One-Time Password”. Con questa espressione si indica una password monouso, ovvero valida per un solo utilizzo e per un determinato lasso di tempo. Una volta utilizzata la password perde di validità e occorrerà generarne nuovamente un’altra. È uno strumento molto utile perché garantisce l’accesso sicuro a un’applicazione e si rivela fondamentale quando si utilizza l’autentificazione a due fattori (2FA). Vediamo più nel dettaglio a cosa serve e come può essere utilizzata.
L’arma migliore contro il password snipping
In particolare, l’utilizzo di un TOPT si rivela l’elemento più efficace per combattere il “password snipping”. Con questa espressione si intende l’intercettazione illegale dei dati al fine di acquisire illecitamente le password di un utente. La TOTP permette una protezione più avanzata se comparata alle password statiche, ovvero a quelle password che rimangono valide e invariate per più sessioni di accesso. Ma come si fa ad ottenere una password nuova ogni volta che si decide di accedere ad un’applicazione? La generazione di password TOTP si basa sul sistema OTP, che lavora attraverso algoritmi di casualità, generando una password nuova e casuale a ogni utilizzo. L’algoritmo ricorre a una combinazione di simboli e di caratteri casuali che gli hacker non possono prevedere. Tuttavia, questo sistema può essere potenziato, ricorrendo anche a un sistema di sincronizzazione temporale per creare password temporalmente valide solo per un lasso di tempo limitato, ovvero le Time-based One-Time password.
Vediamo più nello specifico le differenze tra OTP (One-Time Password) e TOTP (Time-based One-Time Password).
One-Time Password e Time-based One-Time Password
Una One-Time Password viene creata attraverso un sistema di generazione delle parole chiave stabilito dal server che crea un elenco partendo da un segreto condiviso con l’utente. Il server non dispone mai dell’elenco completo delle password, ma le calcola di volta in volta in base alle richieste del client.
La tecnica della Time-based One-Time Password si basa sullo stesso meccanismo, ma la password viene calcolata sul momento dal server e dal client basandosi sulla data e l’ora corrente. Questo avviene attraverso un hardware di proprietà dell’utente finale, in grado di generale un codice token ogni 60 secondi (le tempistiche possono essere anche inferiori). Questo codice avrà una precisa durata temporale. La cosa garantisce un margine di sicurezza molto significativo: se gli hacker volessero tentare di identificare la password di un profilo informatico per violarne la sicurezza non avrebbero il tempo materiale necessario per portare l’operazione a termine.
Time-based One-Time Password e la 2FA
Come già accennato, la Time-based One-Time Password è uno strumento molto importante quando si sceglie di utilizzare un sistema di autentificazione a due fattori. Per assicurare la massima sicurezza della casella email, Zimbra include tra i suoi servizi anche l’autenticazione a due fattori (2FA).
Le applicazioni TOTP per iOS Android e Windows Mobile OS sono disponibili per buona parte degli smartphone attualmente sul mercato. Zimbra è compatibile con qualsiasi applicazione TOTP in linea con gli standard di settore. Anche questa è un’ottima ragione per passare alla sicurezza di Zimbra 2FA.
Vuoi saperne di più? Contattaci subito per una consulenza personalizzata Zimbra.