Contraseñas de un solo uso (One Time Passwords)
Las contraseñas de un solo uso (One Time Password, OTP) son un tipo de credenciales utilizadas en procesos de autenticación, que tienen la peculiaridad de ser válidas en una única ocasión. El objetivo de este tipo de contraseñas es dificultar el acceso a recursos protegidos.
La autenticación con credenciales OTP se basa en el uso de una contraseña distinta cada vez que nos autenticamos, con lo que minimizamos el riesgo de que un atacante sin autorización descubra nuestra contraseña y la utilice posteriormente para suplantar nuestra identidad.
Por lo general, los sistemas que utilizan credenciales OTP, ya seguros de por sí dada la temporalidad de las contraseñas, se basan en un modelo de autenticación de dos factores (Two Factor Authentication, TFA), consiguiendo así procesos mucho más seguros y robustos.
En estos modelos, los usuarios obtienen la contraseña OTP de algún elemento físico individualizado que poseen —ya sea una aplicación en su teléfono móvil, un token de seguridad o una tarjeta de claves— y algo que saben —generalmente, una contraseña. Esta combinación reduce aún más el riesgo de que alguien no autorizado descubra o genere la contraseña OTP, y por lo tanto minimiza la vulnerabilidad ante muchos de los ataques que sufren las contraseñas estáticas.
En la generación de contraseñas OTP, el servidor de autenticación y la aplicación generadora de contraseñas comparten el mismo algoritmo matemático y utilizan algún parámetro común para el cálculo. Según este parámetro, los sistemas pueden clasificarse como:
- Sincronizados por tiempo: uno de los parámetros que intervienen en el cálculo de la contraseña OTP es el instante vigente. En este caso, el servidor de autenticación y la aplicación generadora de contraseñas deben estar perfectamente sincronizados, ya que la contraseña sólo será válida por un breve periodo de tiempo.
- Sincronizados por eventos: en el cálculo de la contraseña interviene:
- un contador que comparten y actualizan progresivamente el servidor de autenticación y la aplicación generadora de contraseñas (basado, por ejemplo, en el número de veces que el usuario ha pulsado el token de seguridad), o
- una variable (challenge) que las dos partes intercambian durante el proceso de generación de la contraseña.
Para acceder a las aplicaciones experimentales de Semantic Web Trust Portal, Safelayer ha habilitado algunos mecanismos de autenticación basados en contraseñas de un solo uso que se generan en aplicaciones para móviles.
