Le app di autenticazione, i token hardware e i codici SMS sono metodi di autenticazione comuni che potresti incontrare quando configuri l’autenticazione a due fattori (2FA). Tutti si basano su password monouso (OTP). TOTP e HOTP sono due tipi standardizzati di OTP, mentre i codici via SMS ed email sono altri metodi comuni di invio delle OTP. Sebbene servano fondamentalmente allo stesso scopo di base, le loro implementazioni differiscono, offrendo vantaggi e limitazioni unici. In questo articolo, analizzeremo HOTP vs TOTP vs OTP e spiegheremo quale opzione ha più senso per i diversi casi d’uso.
Capire HOTP, TOTP e OTP
Password monouso (OTP)
Le OTP sono codici temporanei, a volte definiti password monouso o codici 2FA, che vengono utilizzati una sola volta. Non sostituiscono le password; forniscono invece un livello di sicurezza aggiuntivo. Le OTP sono comunemente utilizzate nelle applicazioni bancarie per la verifica dell’identità durante l’accesso o quando si configura un account online.
Nota: OTP è il termine generico per varie forme di password monouso, tra cui TOTP, HOTP ed email/SMS.
Password monouso basata sul tempo (TOTP)
I codici TOTP sono in genere codici a 6 cifre generati dalle app di autenticazione. Sono validi per circa 30 secondi (a volte fino a 60 secondi, a seconda del servizio). Quando un codice scade, non è più funzionante e ne viene generato uno nuovo. La natura temporale del TOTP lo rende altamente sicuro, in quanto limita la finestra temporale a disposizione degli aggressori per utilizzare un eventuale codice rubato.
Password monouso basata su HMAC (HOTP)
Gli HOTP si trovano comunemente nei token hardware come le YubiKey e si basano su un sistema basato su contatori per generare codici. Questo sistema funziona in modo simile a un libretto di voucher numerati: c’è un ordine progressivo di codici che viene confrontato con il sistema. Finché il token hardware e il server dell’applicazione rimangono sincronizzati, puoi accedere.
A differenza del TOTP, i codici HOTP non scadono in base a un timer. Rimangono validi finché non li usi o non generi un nuovo codice. Questo li rende ideali per scenari offline, ma significa anche che se generi un codice e non lo usi, questo rimane una chiave valida che un malintenzionato potrebbe trovare e utilizzare.
HOTP, TOTP e OTP: differenze principali
TOTP e HOTP sono entrambi tipi di OTP con diversi metodi di generazione. Ad esempio, se stai confrontando il TOTP con l’OTP, probabilmente stai confrontando i codici a tempo delle app di autenticazione con i metodi OTP generali, come i codici tramite SMS ed email.
| Codici SMS/email | TOTP | HOTP | |
| Validità del codice | Varia (da minuti a ore) | Da 30 a 60 secondi | Fino alla generazione di un nuovo codice |
| Sicurezza* | Bassa | Alta | Moderata |
| Complessità di configurazione | Nessuna | Bassa | Moderata |
| Requisito di rete attiva | Sì | No | No |
| Hardware aggiuntivo | Nessuna | Nessuna | Token hardware |
*Livello di sicurezza basato sulle finestre di validità del codice e sul rischio di intercettazione.
Sicurezza
HOTP, TOTP e OTP offrono diversi livelli di sicurezza; i fattori chiave da considerare sono il tempo di esposizione e il metodo di trasmissione.
Il TOTP offre generalmente una sicurezza maggiore rispetto ai codici SMS o email, poiché i codici vengono generati sul dispositivo e hanno una validità breve. Se dei malintenzionati riuscissero in qualche modo a ottenere il tuo codice TOTP, questo diventerebbe inutile.
L’HOTP si basa su fondamenta crittografiche, garantendo una sicurezza solida. Tuttavia, poiché i codici HOTP non scadono in base a un timer, le finestre di validità potenzialmente lunghe potrebbero rendere vulnerabili i codici rubati.
I codici SMS ed email sono i meno sicuri del gruppo. Viaggiano su reti che possono essere intercettate o reindirizzate, il che li rende più vulnerabili ad attacchi di phishing o SIM swap..
Nota: nessun metodo OTP è immune ad attacchi di ingegneria sociale, come il phishing. È importante sapere come individuare il phishing per difenderti adeguatamente.
| Codici SMS/email | TOTP | HOTP |
| Soggetto a intercettazione a causa dei requisiti di rete attiva | Tempo minimo per i malintenzionati per sfruttare i codici rubati | La lunga validità offre maggiori opportunità di attacco |
| Le piattaforme non crittografate rendono i codici più facili da rubare | Minore rischio di intercettazione, poiché i codici vengono generati sul dispositivo | Sicurezza solida basata su fondamenta crittografiche |
Esperienza utente
La complessità di configurazione, la pressione temporale e l’affidabilità influiscono sull’esperienza utente dei tre metodi.
Il TOTP è affidabile e comodo. La configurazione è semplice (spesso basta scansionare un codice QR) e i codici vengono generati anche senza una rete attiva. Tuttavia, la rapida scadenza del codice crea una pressione temporale, che può causare frustrazione per gli utenti più lenti o per chi gestisce più account.
L’HOTP è molto più flessibile al confronto, senza limiti di tempo. La configurazione, tuttavia, è molto più complessa e potrebbe richiedere l’acquisto di hardware aggiuntivo.
I codici SMS ed email sono i più semplici da usare e non richiedono alcuna configurazione, ma si affidano alla connettività di rete, il che può causare ritardi in caso di interruzioni o disservizi.
| Codici SMS/email | TOTP | HOTP |
| Nessuna configurazione richiesta | Configurazione semplice tramite codice QR con un autenticatore 2FA | Configurazione complessa, potrebbe richiedere hardware aggiuntivo |
| Lieve pressione temporale, con alcuni codici che scadono nel giro di ore | La pressione temporale può causare frustrazione | Nessuna pressione temporale |
| Dipende interamente da una rete attiva per l’invio del codice | Funziona in modo affidabile anche senza connessione di rete | Funziona offline, ma potrebbero verificarsi problemi di sincronizzazione |
Limitazioni
Le limitazioni specifiche di ciascun metodo influenzeranno come e quando li utilizzerai. I codici SMS ed email funzionano con i tuoi dispositivi esistenti, ma la loro dipendenza dalle tue connessioni di rete e internet può causare ritardi nella consegna del codice, che potrebbero persino durare più a lungo della loro validità.
Il TOTP non richiede una connessione di rete per generare codici, ma richiede che il tuo smartphone sia sincronizzato con l’ora del server affinché il codice funzioni. Il modo migliore per garantirlo è fare in modo che l’orologio del tuo dispositivo si sincronizzi automaticamente con internet. In questo modo, quando viaggi, la sincronizzazione dell’ora rimarrà attiva.
Con l’HOTP, generare nuovi codici offline può essere vantaggioso quando la connettività di rete è scarsa. Tuttavia, si tratta di un’arma a doppio taglio. Rigenerare codici senza utilizzarli può causar la desincronizzazione del tuo dispositivo con il server, creando errori di autenticazione. Inoltre, la rigenerazione manuale richiesta dall’HOTP attribuisce una grande responsabilità in termini di sicurezza all’utente.
| Codici SMS/email | TOTP | HOTP |
| Le aree con scarsa copertura di rete possono causare ritardi significativi nella consegna dei codici | L’ora del dispositivo deve essere sincronizzata con quella del server, anche quando viaggi | Può desincronizzarsi se vengono generati troppi codici senza essere utilizzati |
Quale metodo OTP dovresti usare?
In breve, il TOTP è lo standard migliore per la maggior parte delle persone, mentre l’HOTP risponde a specifiche esigenze offline. Entrambi sono superiori agli SMS.
Sebbene le esigenze individuali variino, il TOTP sembra essere la scelta più bilanciata nella maggior parte delle situazioni. La natura basata sul tempo offre un ulteriore livello di sicurezza e l’accessibilità da smartphone lo rende una scelta comoda e sicura per gli account a cui accedi regolarmente. Tuttavia, per una protezione ancora più forte contro il phishing, i metodi hardware come FIDO2/chiavi di accesso vanno oltre qualsiasi metodo OTP.
Memorizza le password e genera OTP in modo sicuro
Gestire le password e i codici di autenticazione TOTP può essere una seccatura: dover passare continuamente da un’app all’altra durante i login riduce il tempo già limitato che hai a disposizione per inserire i codici. Proton Pass è un gestore di password sicuro che riduce questo fastidio grazie alla nostra funzionalità di 2FA integrata (TOTP). Accedi alle tue password, ai codici 2FA e molto altro da un’unica cassaforte crittografata e sicura.
