Cos’è il TOTP? Tutto quello che devi sapere sulle password monouso basate sul tempo

Probabilmente hai dovuto inserire un codice a sei cifre da un’app di autenticazione quando accedi online. Questo è noto come password monouso basata sul tempo, o TOTP, ed è un modo incredibilmente semplice per migliorare la sicurezza dei tuoi account online.

Grazie alla rapida scadenza di questi codici, compresa tra i 30 e i 60 secondi, per i criminali informatici è quasi impossibile accedere al tuo account, anche se riescono a rubare le tue password. Scopriremo cosa sono i TOTP, come funzionano e come si confrontano con altri metodi di autenticazione.

Cos’è il TOTP?

Un TOTP è un tipo di password monouso (OTP) che genera codici temporanei utilizzando il tempo come elemento chiave. Questi codici cambiano ogni 30-60 secondi, rendendoli estremamente difficili da compromettere per i criminali informatici. Nell’improbabile eventualità che riescano in qualche modo a scoprire il tuo codice, la sua breve durata lo rende rapidamente quasi inutile per un malintenzionato.

Il TOTP è un metodo di autenticazione a due fattori (2FA) che aggiunge un ulteriore livello di sicurezza al tuo nome utente e alla tua password. È comodo da usare: basta generare il codice da un’app di autenticazione e la sua natura basata sul tempo lo rende molto sicuro.

Come funziona il TOTP?

Per farla semplice, il TOTP funziona condividendo una chiave segreta tra il servizio che stai proteggendo e la tua app TOTP.

Quando attivi la 2FA, scansiona un codice QR per condividere la chiave segreta con il tuo autenticatore TOTP. Le app TOTP sono gratuite e tra le più comuni ci sono Google Authenticator e Microsoft Authenticator. Se usi un gestore di password sicuro, potrebbe includere un autenticatore 2FA integrato che genera codici TOTP. Proton Pass è uno di questi gestori di password: memorizza le tue password in modo sicuro e genera i tuoi codici 2FA, il tutto in un’unica app.

Una volta completata la configurazione iniziale, il servizio a cui stai accedendo e l’app di autenticazione si sincronizzano per calcolare in modo indipendente lo stesso codice nello stesso momento utilizzando la chiave segreta. Quando accedi, ti verrà richiesto di inserire un codice 2FA. Se il codice del servizio corrisponde a quello che inserisci, potrai accedere.

Le differenze tra il TOTP e altre password monouso

Il TOTP è solo uno dei diversi metodi di password monouso (OTP). Ecco una rapida panoramica di come si confronta con gli altri. Puoi trovare anche una guida più approfondita sulla differenza tra TOTP, OTP e HOTP.

TOTP vs OTP

OTP è un termine generico che indica le password monouso. Il TOTP è un tipo di OTP che utilizza un modello basato sul tempo per generare codici OTP. Tutti i TOTP sono OTP, ma esistono altri metodi OTP. Questi includono codici SMS ed email, e l’HOTP. Ogni metodo ha modi diversi per generare e trasmettere il tuo codice OTP.

TOTP vs HOTP

Le password monouso basate su HMAC (HOTP) generano un nuovo codice OTP solo quando richiesto. Ciò significa che ogni codice è valido finché non ne viene generato uno nuovo, il che li rende più esposti a compromissione. I codici TOTP si aggiornano automaticamente dopo 30-60 secondi, quindi i malintenzionati hanno meno tempo per utilizzare i codici rubati.

TOTP vs SMS e codici via email

I codici via SMS ed email vengono trasmessi tramite reti cellulari e internet, il che li rende vulnerabili alle intercettazioni. Se usi reti poco sicure o compromesse, i malintenzionati potrebbero spiare le tue attività e ottenere i tuoi codici OTP. Al contrario, i codici TOTP vengono generati sul dispositivo e non trasmessi su alcuna rete, il che li rende più sicuri.

I vantaggi in termini di sicurezza del TOTP

L’utilizzo del TOTP come metodo OTP preferito comporta diversi vantaggi in termini di sicurezza.

• Codici a tempo limitato: i codici TOTP scadono entro 30-60 secondi, prima che ne venga generato uno nuovo. Questo non lascia quasi tempo ai malintenzionati per utilizzare i codici TOTP rubati, poiché i codici scaduti non possono essere riutilizzati.
• A prova di intercettazione: i codici TOTP vengono generati sul dispositivo. Non vengono trasmessi su reti dove potrebbero essere intercettati a causa di una scarsa sicurezza della rete stessa.
• Protezione contro le violazioni: se la tua password viene esposta in una violazione dei dati, i codici TOTP forniscono un’ulteriore barriera contro gli accessi non autorizzati. I malintenzionati non possono accedere al tuo account senza la tua app di autenticazione.
• Funziona su qualsiasi smartphone: il TOTP funziona direttamente dal tuo smartphone, senza bisogno di acquistare un token hardware. Ti basta scaricare un’app di autenticazione sul tuo dispositivo e il gioco è fatto.

Il TOTP offre un’eccellente sicurezza, ma non è perfetto. Perdere il dispositivo potrebbe impedirti di accedere ai tuoi account, quindi salva sempre i codici di backup. Inoltre, assicurati che l’orologio del tuo dispositivo si sincronizzi automaticamente con internet, poiché le impostazioni dell’ora errate sono una causa comune di errore del TOTP.

Proteggi i tuoi account con il TOTP

Il TOTP migliora la sicurezza del tuo account con codici basati sul tempo che sono superiori ad altri metodi OTP. Gestire più password e codici 2FA non deve essere una scocciatura: ti basta usare Proton Pass, un gestore di password con un autenticatore TOTP integrato.

Proton Pass combina l’archiviazione e la generazione delle password con un autenticatore 2FA, eliminando la necessità di passare da un’app all’altra durante l’accesso e di scaricare app aggiuntive. Ti fa risparmiare spazio di archiviazione prezioso e rende l’accesso con 2FA fluido. Tutto ciò che memorizzi in Proton Pass, compresi i codici che generi, è protetto da una potente crittografia end-to-end.

Porta la sicurezza del tuo login a un livello superiore: attiva il TOTP per i tuoi account e memorizza tutte le tue password con Proton Pass oggi stesso.