¿Qué es una contraseña de un solo uso (OTP)?
Una contraseña de un solo uso (OTP) es una cadena de caracteres numérica o alfanumérica generada automáticamente que autentica a un usuario para una sola transacción o sesión de inicio de sesión.
Una OTP es más segura que una contraseña estática, especialmente una contraseña creada por el usuario, que puede ser débil y/o reutilizarse en varias cuentas.
Las OTP pueden reemplazar la información de inicio de sesión de autenticación o se pueden usar además para agregar otra capa de seguridad.
Ejemplos de contraseñas de un solo uso
Los tokens de seguridad OTP son tarjetas inteligentes basadas en microprocesadores o llaveros de bolsillo que producen un código numérico o alfanumérico para autenticar el acceso al sistema o la transacción. Este código secreto cambia cada 30 o 60 segundos, dependiendo de cómo esté configurado el token.
Las aplicaciones para dispositivos móviles, como Google Authenticator, se basan en el dispositivo de token y el PIN para generar la contraseña de un solo uso para la verificación en dos pasos.
Los tokens de seguridad OTP se pueden implementar utilizando hardware, software o bajo demanda. A diferencia de las contraseñas tradicionales que permanecen estáticas o caducan cada 30 a 60 días, la contraseña de un solo uso se usa para una transacción o sesión de inicio de sesión.
Cómo obtener una contraseña de un solo uso
Cuando un usuario no autenticado intenta acceder a un sistema o realizar una transacción en un dispositivo, un administrador de autenticación en el servidor de red genera un número o un secreto compartido, utilizando algoritmos de contraseña de un solo uso. El token de seguridad de la tarjeta inteligente o el dispositivo utiliza el mismo número y algoritmo para hacer coincidir y validar la contraseña y el usuario de un solo uso.
Muchas empresas utilizan el Servicio de Mensajes Cortos (SMS) para proporcionar un código de acceso temporal a través de texto para un segundo factor de autenticación. El código de acceso temporal se obtiene fuera de banda a través de comunicaciones por teléfono celular después de que el usuario ingrese su nombre de usuario y contraseña en sistemas de información en red y aplicaciones web orientadas a transacciones.
Para la autenticación de dos factores (2FA), el usuario introduce su ID de usuario, contraseña tradicional y código de acceso temporal para acceder a la cuenta o al sistema.
Cómo funciona una contraseña de un solo uso
En los métodos de autenticación basados en OTP, la aplicación OTP del usuario y el servidor de autenticación dependen de secretos compartidos.
Los valores de las contraseñas de un solo uso se generan mediante el algoritmo de Código de Autenticación de Mensajes Hash (HMAC) y un factor de movimiento, como la información basada en el tiempo (TOTP) o un contador de eventos (HOTP).
Los valores OTP tienen marcas de hora de minutos o segundos para mayor seguridad. La contraseña de un solo uso se puede entregar a un usuario a través de varios canales, incluidos un mensaje de texto basado en SMS, un correo electrónico o una aplicación dedicada en el punto final.
A los profesionales de la seguridad les preocupa desde hace mucho tiempo que la suplantación de mensajes SMS y los ataques man-in-the-middle (MITM) se puedan utilizar para romper los sistemas 2FA que dependen de contraseñas de un solo uso. Sin embargo, los EE.UU. El Instituto Nacional de Estándares y Tecnología (NIST) anunció planes para dejar en desuso el uso de SMS para contraseñas de 2FA y de un solo uso, ya que el método es vulnerable a una variedad de ataques que podrían comprometer esas contraseñas y códigos. Como resultado, las empresas que están considerando la implementación de contraseñas de un solo uso deben explorar otros métodos de entrega además de SMS.
Beneficios de una contraseña de un solo uso
La contraseña de un solo uso evita las dificultades comunes a las que se enfrentan los administradores de TI y los administradores de seguridad con la seguridad de las contraseñas. No tienen que preocuparse por las reglas de composición, las contraseñas malas y débiles conocidas, el uso compartido de credenciales o la reutilización de la misma contraseña en varias cuentas y sistemas.
Otra ventaja de las contraseñas de un solo uso es que se vuelven inválidas en minutos, lo que evita que los atacantes obtengan los códigos secretos y los reutilicen.