La llegada de la OTP supone una revolución en materia de seguridad y autenticación. El reciente aumento del número de empresas que cambian su modelo para trabajar desde casa y la evolución del comercio en línea han planteado nuevas cuestiones sobre la seguridad de los datos y la red. La doble autenticación, que suele hacerse mediante una OTP (acrónimo de «one time password» o contraseña de un solo uso), sigue siendo uno de los mejores métodos para proteger una cuenta al iniciar sesión.
Definición de contraseña de un solo uso
Una contraseña de un solo uso es un método para acceder a una cuenta de usuario que requiere que el usuario introduzca un código de un solo uso.
Las contraseñas de un solo uso son códigos numéricos que se generan aleatoriamente en cada autenticación.
Suelen programarse para que sean temporales (TOTP). Esto significa que sólo son válidos durante un intervalo de tiempo limitado, determinado por el sistema que ha creado el código.
Una vez introducido o transcurrido el tiempo de validez, el código OTP queda inutilizado.
Esto añade una capa adicional de seguridad, ya que la contraseña generada es un nuevo conjunto de números aleatorios cada vez que se realiza un intento de autenticación. Por tanto, es imposible de adivinar.
Código OTP: ¿Cómo se envía la clave por SMS?
El código OTP funciona gracias a un algoritmo criptográfico simétrico. Las dos partes, el emisor y el receptor, comparten información y la comparan. Si la información obtenida de cada parte es idéntica, la verificación mediante OTP se realiza con éxito.
En el caso de un código OTP enviado por SMS, el proceso de backend procede del siguiente modo:
- El servidor actúa como remitente. Crea una clave secreta, que es un factor fijo.
- El servidor comparte la clave secreta con el servicio que genera la OTP.
- Se genera un código criptográfico de autenticación utilizando la clave secreta y el factor fijo. En el caso de un TOTP, se trata de la hora de obtención de la clave.
- El código generado se trunca dinámicamente para entregarlo al usuario final.
- La parte receptora, que está en proceso de identificarse, recibe un código de seguridad numérico o alfanumérico corto y fácil de introducir.
Por otro lado, el proceso del usuario es el siguiente:
- El usuario introduce sus credenciales habituales, normalmente su dirección de correo electrónico y su contraseña.
- El sistema le envía a una nueva ventana donde se le pide que introduzca un código OTP.
- Si el usuario ha registrado su número de teléfono móvil, recibe el código inmediatamente por SMS. Si no, el usuario debe introducir su número de teléfono en ese momento.
- El usuario recibe un código por SMS y lo introduce en el campo de autenticación.
- Así es como accede a su cuenta.
Código OTP: ¿por qué utilizar una clave de seguridad?
Protección contra el robo de identidad en línea
La autenticación por SMS con una OTP es un método de autenticación fuerte. Para que los ciberdelincuentes encuentren ambos factores de autenticación, tendrían que trabajar en el ordenador y el móvil del usuario al mismo tiempo.
Esto mantiene seguro el proceso de inicio de sesión y, en caso de que el usuario pierda su contraseña, nadie podrá acceder a su cuenta sin la clave OTP, que es la segunda capa de seguridad de la cuenta.
Integración y despliegue sencillos
Los desarrolladores pueden integrar este sistema casi instantáneamente con una clave API.
Se acabaron los problemas de seguridad con las contraseñas
Las contraseñas son un método de protección anticuado y muy vulnerable. A pesar de la aplicación de las mejores prácticas por parte de los desarrolladores de sitios web y aplicaciones, los usuarios finales son a veces reacios a utilizar generadores de contraseñas o a crear contraseñas seguras.
Además, guardar las contraseñas en un navegador abre la puerta a los ciberataques. Estos utilizan la caché del navegador para robar la identidad del usuario.
Estos problemas pueden superarse implantando la autenticación de dos factores. Y esto se hace en el momento de iniciar sesión en la cuenta.
Uso sin complicaciones
Los usuarios prefieren una autenticación rápida y sin complicaciones, por lo que la verificación por SMS es la solución ideal.
Además, Google ha introducido recientemente una interfaz web OTP que recoge la clave OTP del SMS directa y automáticamente sin que el destinatario tenga que introducirla. Esto facilita una autenticación sólida sin incomodar a los usuarios.
Código OTP: Finalmente
Los fallos en la seguridad de las cuentas de usuario pueden dar lugar a la revelación de un gran número de contraseñas de usuario.
Para mejorar la seguridad del protocolo de autenticación, es necesario implementar una autenticación adicional mediante una contraseña de un solo uso. Una de las soluciones más comunes para lograrlo es el uso de un servicio de envío de SMS.