Blog
One-time Password

¿Qué es una One-Time Password (OTP)?

Como nombre lo dice, One-Time Password es una contraseña que puede ser utilizada una sola vez. La función OTP evita algunas formas de robo de identidad al asegurarse de que la relación entre el nombre de usuario y la contraseña capturada no se pueda usar por segunda vez.

Por lo general, el nombre de inicio de sesión del usuario sigue siendo el mismo y la contraseña de un solo uso cambia con cada inicio de sesión.

Las contraseñas de un solo uso (también conocidas como códigos de acceso de un solo uso) son una forma de autenticación sólida, que proporciona una mucho mejor protección a la banca electrónica, las redes corporativas y otros sistemas que contienen datos confidenciales.

La autenticación responde a la pregunta:"¿Eres realmente [nombre] [apellido] [usuario]?"

Hoy en día, la mayoría de las redes empresariales, los sitios de comercio electrónico y las comunidades en línea solo requieren un nombre de usuario y una contraseña estática para iniciar sesión y acceder a datos personales y confidenciales.

¿Cómo funciona una contraseña OTP?

Tarjetas con lista de contraseñas

Los métodos simples, como las listas de números de transacción y las tarjetas de cuadrícula o tablas pueden proporcionar un conjunto de contraseñas de un solo uso.

Estos métodos ofrecen bajos costos de inversión, pero son lentos, difíciles de mantener, fáciles de replicar y compartir y requieren que los usuarios realicen un seguimiento de dónde se encuentran en la lista de contraseñas. Es un método usado a principios de la década de 2010 y hoy en día tienen muy poco uso.

Tokens de seguridad

Una forma más conveniente para los usuarios es usar un token OTP, un dispositivo de hardware capaz de generar contraseñas de un solo uso. Algunos de estos dispositivos están protegidos por PIN, lo que ofrece un nivel adicional de seguridad. El usuario introduce la contraseña de un solo uso generada por el hardware token con otras credenciales de identidad (normalmente nombre de usuario y contraseña) y un servidor de autenticación valida la solicitud de inicio de sesión.

Aunque esta es una solución probada para aplicaciones empresariales, el costo de implementación puede hacer que la solución sea costosa para las aplicaciones de consumo.

Dado que el token debe usar el mismo sistema de generación de identificadores que el servidor, se requiere un token independiente para cada inicio de sesión del servidor, por lo que los usuarios necesitan un token diferente para cada sitio web o red que utilicen.

Tarjetas inteligentes y OTP

Los tokens de hardware utilizan tarjetas inteligentes basadas en microprocesadores para calcular contraseñas de un solo uso.

Sin embargo la tecnología más avanzada está fundamentada en que la mayoría de las soluciones en hardware han migrado a ser Apps’s en dispositivos móviles o han sido integradas en las aplicaciones bancarias.

Por otro lado, las tarjetas inteligentes tienen varias ventajas para una autenticación robusta, incluida la capacidad de almacenamiento de datos, la potencia de procesamiento, la portabilidad y la facilidad de uso.

Son en sí mismos más seguros que otros tokens OTP porque generan una contraseña única y no reutilizable para cada evento de autenticación, almacenan datos personales y no transmiten datos confidenciales o privados a través de la red.

¿Cómo se genera una OTP?

Para crear una One-Time Password se emplea un algoritmo especial, encargado de generar la contraseña cuando se necesite. Para ello, existen tres posibilidades:

  • Activación por tiempo.
  • Activación por evento.
  • Solicitud del servidor.

Activación por tiempo

En este procedimiento, el generador de contraseñas (cliente) y el servidor generan contraseñas adaptadas y temporalmente sincronizadas mediante el mismo algoritmo. Una Time-based One-Time Password (TOTP) de este tipo es conocida tanto por el usuario como el servidor y su validez está ligada a un período de tiempo determinado de forma precisa, normalmente suele oscilar entre 30 segundos y quince minutos. Después de este tiempo debe ser generada de nuevo, si no fue utilizada.

Activación por evento

Las One-Time Passwords activadas por evento se crean al ejecutar una acción determinada, por ejemplo, el accionamiento de una tecla en el token generador. Al igual que en el proceso activado por tiempo, el usuario y el servidor usan el mismo algoritmo. La contraseña se calcula sobre la base de la contraseña vigente anteriormente y así se puede comparar con el servidor.

Solicitud del servidor (activación por estímulo-respuesta)

En este procedimiento, el servidor lanza una solicitud (estímulo) que el cliente debe responder (respuesta). El cliente recibe un valor determinado del servidor y calcula la One-Time Password a partir de ese valor. Como el servidor conoce el algoritmo y el valor indicado, puede comprobar la contraseña generada.

Diferencias entre una OTP y la autenticación de dos factores

Es frecuente confundir la One-Time Password con una doble autenticación, pero esto es equivocado. La doble autenticación o mejor dicho, la autenticación múltiple está integrada por elementos que permiten verificar que el usuario es quien dice ser y se verifica por múltiles medios y uno de ellos puede ser la OTP, así como verificaciones biométricas, contraseñas memorizadas y verificación de dispositivos autorizados.

¿Cuándo tiene sentido emplear una One-Time Password?

Las One-Time Passwords son muy recomendables en todas las páginas web y servicios online que manejen datos especialmente sensibles e importantes. Por ejemplo:

  • Banca electrónica.
  • Servicios financieros como depósitos de acciones online o mercados de valores para criptomonedas.
  • Datos sensibles de empresas.
  • Canales de comunicación confidenciales.

Las One-Time Passwords no son solicitadas en todas las páginas web.

Pero, en general, debes asegurarte de emplear contraseñas seguras, incluso si usas una contraseña en repetidas ocasiones.

Los estudios indican que, a pesar del aumento de la ciberdelincuencia, los usuarios no son lo suficientemente conscientes del riesgo al que están expuestos.

Y recuerda las buenas prácticas de una buena contraseña:

  • Al menos 16 caracteres.
  • Usar caracteres alfanuméricos y símbolos, mezclando letras minúsculas con mayúsculas.
  • Usa frases y no palabras en tus contraseñas; no es lo complicado si no lo largo, lo que hace a una contraseña segura.
  • Ejemplo: L0sAng3l3sEsl4C1ud4ddel4as***

Beneficios de una Contraseña OTP

La protección es triple, pues proteges tus datos personales, proteges al comercio con el que estás realizando la transacción y proteges a la institución bancaria, responsable de que la transacción se realice satisfactoriamente para todos.

Ventajas e inconvenientes de las One-Time Passwords

Para los bancos es indispensable instalar los procesos y equipos necesarios para generar los códigos de verificación dinámicos y establecer la conexión con los espacios donde se realizará la transacción.

Ofrece la triple ventaja de ofrecer seguridad simultánea tanto a usuarios, a los comercios que reciben la transacción y a las instituciones bancarias que respaldan la operación, protegiéndolas de operaciones fraudulentas y del robo de datos personales.

Puede resultar engorroso que con cada operación te sea requerido ingresar un código de verificación o contraseña diferente.

Sin embargo, ya hay dispositivos que te facilitan este proceso y, lo más importante, es un pequeñísimo inconveniente que te da el doble de protección.