Senha descartável: diferenças entre revisões

Esta página cita fontes, mas que não cobrem todo o conteúdo. Ajude a inserir referências. Conteúdo não verificável pode ser removido.—Encontre fontes: ABW  • CAPES  • Google (N • L • A) (Março de 2008)

Este artigo ou se(c)ção está a ser traduzido. de «One-time password» na Wikipédia em inglês Ajude e colabore com a tradução. (Julho de 2017)

Senha descartável, senha de uso único (em inglês: One-time password - OTP) é uma senha que é válida somente para uma sessão de login ou transação, em um sistema de computadores ou outros dispositivos digitais.^[1] OTPs evitam uma série de deficiências que estão associadas às autenticações tradicionais (estáticas), baseada em uma senha; uma séries de implementações também incorporam autenticação de dois fatores, garantindo que a senha de uso requer acesso a algo que uma pessoa tem (como um pequeno chaveiro OTP ou um celular específico), bem como algo que a pessoa sabe (como um PIN)

A vantagem mais importante que é dada pelas OTPs é que, em contraste com as senhas estáticas, elas não são vulneráveis a ataques replay. Isso significa que um potencial intruso que consiga capturar uma OTP que já foi usada para fazer login em um serviço ou uma transação, não conseguirá utilizá-la, uma vez que ela não será mais válida. Uma segunda maior vantagem é que um usuário que usa a mesma senha (ou similar) para múltiplos sistemas, não fica vulnerável em todos eles, se a senha de um deles for conseguida pelo atacante.

O uso de senhas descartáveis OTP é uma das mais simples soluções e de fácil implementação. A finalidade é fazer com que o usuário informe senhas diferentes a cada acesso.^{[carece de fontes?]}

Se porventura uma senha de acesso for capturada, ela não terá nenhum valor, já que para um novo acesso, uma nova senha deverá ser informada, claro que diferente da atual. Isso acontece porque no momento que a conexão é aceita, automaticamente a senha que foi usada para autenticação é descartada, fazendo com que a próxima conexão seja informada uma senha diferente.^{[carece de fontes?]}

Existem varias formas de gerar senhas, sendo com o uso de calculadoras de senhas ou essas mesmas calculadoras implementadas em sistemas operacionais, PDA’s, celulares ou até mesmo soluções multiplataformas, como Java, que permite o funcionamento através de navegadores convencionais. O uso desta calculadora melhora bastante a segurança, em geral causa pouco incomodo visto que podem estar disponíveis em um dispositivo que o usuário carrega consigo.^{[carece de fontes?]}

Método de envios de OTPs

Telefones

Uma tecnologia comum usada para envio de OTPs é mensagem de texto. OTP por mensagem de texto pode ser encriptada usando o padrão A5/x que vários grupos de hacking dizem que pode ser decriptada com sucesso em minutos ou segundos. Além disso, falhas de segurança no protocolo de roteamento SS7 podem ser e foram usadas para redirecionar as associadas mensagens de texto aos atacantes. Em julho de 2016, o NIST dos Estados Unidos emitiu um trecho de uma publicação especial com orientações sobre práticas de autenticação, que desencoraja o uso de SMS como um método de implementação de autenticação de dois fatores fora do canal de ligações, devido à habilidade de interceptação de SMS em escala

Em smartphones, OTPs podem ser também enviados diretamente por meio de aplicativos móveis, incluindo aplicativos dedicados à autenticação, como Authy, Duo e Google Authenticator. Esses sistemas não compartilham as mesmas vulnerabilidades do SMS, e não necessariamente requerem uma conexão à rede móvel para utilizar, apesar de serem baseados em internet

Ver também

• One-time pad
• Segurança da informação
• Google Authenticator (aplicativo de geração de OTPs)

Referências

Este artigo sobre informática é um esboço. Você pode ajudar a Wikipédia expandindo-o. v d e

• Portal das tecnologias de informação