One-Time Password (OTP): mayor seguridad en la red
Las contraseñas convencionales tienen muchos puntos débiles, incluso las bien elaboradas y consideradas, en principio, contraseñas seguras. El problema principal es que, si una contraseña se usa de forma regular, existe el riesgo de que haya personas no autorizadas que puedan acceder a ella. A menudo, este acceso fraudulento se consigue mediante ataques de replay: una persona no autorizada intercepta la contraseña y luego la usa para una nueva autenticación.
Ni siquiera hace falta ningún descuido: en los últimos años ha habido numerosos ejemplos en los que incluso las páginas de empresas de lo más serio han sufrido ciberataques y miles de datos de clientes acabaron en las manos equivocadas.
¿Cómo puedes protegerte frente a esta realidad? Una de las opciones es cambiar la contraseña con regularidad, a poder ser, cada poco tiempo. No obstante, evidentemente, no es muy cómodo cambiar las contraseñas con frecuencia. Así que otra solución bastante más sencilla es la One-Time Password (contraseña de un solo uso).
Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con encriptación SSL.
¿Qué es una One-Time Password (OTP)?
Una One-Time Password es una contraseña que solo se puede usar una vez y luego pierde su vigencia. En español se le suele denominar contraseña de un solo uso o contraseña de uso único. A veces también se usa la abreviatura inglesa OTP o el término compuesto, código OTP.
Por norma general, la contraseña de un solo uso se compone de un código OTP alfanumérico (letras y números) y se genera para un solo proceso de inicio de sesión. Una vez que el usuario ha iniciado la sesión con la One-Time Password, esta pierde su vigencia y ya no podrá usarse para el siguiente inicio de sesión.
Es muy común que las contraseñas de un solo uso se empleen como parte de una autenticación de doble factor, como en la banca electrónica y cada vez en más empresas. Primero se introducen los datos de inicio de sesión convencionales. Luego, el usuario genera una contraseña dinámica de un solo uso, por ejemplo, con un generador de códigos, que también es necesario para la autentificación.
Este paso adicional aumenta notablemente el nivel de seguridad: si una persona no autorizada logra hacerse con la contraseña normal durante este proceso de inicio de sesión, todavía le falta la contraseña dinámica de un solo uso que solo se genera cuando sea necesario. Es por ello que cada vez más servicios online se pasan a la autentificación de doble factor, sobre todo cuando se trata de información sensible.
No confundas la abreviatura OPT de One-Time Password con el One-Time Pad, que también se abrevia OTP. Este es otro procedimiento de codificación, considerado muy seguro, pero bastante más complicado que la aplicación de la One-Time Password.
¿Cómo funciona una contraseña OTP?
Para que un inicio de sesión con One-Time Password llegue a buen puerto, tanto el usuario como el sistema en el que se va a usar, deben conocer la One-Time Password. Para garantizar que esto ocurra existen dos métodos diferentes.
Lista de contraseñas
Una lista de contraseñas es la forma más sencilla de emplear One-Time Passwords. Se crea una lista previa con varias contraseñas que conocen tanto el usuario como el sistema. Si se emplea una de las contraseñas de un solo uso, el usuario simplemente la tacha de la lista.
La desventaja de esta opción es evidente: si el usuario pierde la lista, puede caer en manos de personas no autorizadas. Aunque este tipo de listas con contraseñas One-Time Password sigue empleándose en la banca electrónica, cada vez son más los proveedores que se pasan a las contraseñas OTP de generación dinámica por la desventaja que comentamos anteriormente.
One-Time Passwords generadas de manera dinámica
Las contraseñas de un solo uso generadas de forma dinámica son actualmente el método más empleado. Una elección muy frecuente es, por ejemplo, los generadores de contraseñas de hardware: pequeños dispositivos en forma de llavero o cubo que generan una contraseña siempre que haga falta.
Estos dispositivos también se denominan token OTP. Por norma general, todos disponen de una pantalla y generan una One-Time Password para el correspondiente proceso de inicio de sesión con solo pulsar un botón. Estas One-Time Passwords se suelen usar habitualmente junto con otros elementos de autenticación como códigos PIN o identificaciones de usuario.
Para crear una One-Time Password se emplea un algoritmo especial, encargado de generar la contraseña cuando se necesite. Para ello, existen tres posibilidades:
- Activación por tiempo
- Activación por evento
- Solicitud del servidor
Activación por tiempo
En este procedimiento, el generador de contraseñas (cliente) y el servidor generan contraseñas adaptadas y temporalmente sincronizadas mediante el mismo algoritmo. Una Time-based One-Time Password (TOTP) de este tipo es conocida tanto por el usuario como el servidor y su validez está ligada a un período de tiempo determinado de forma precisa, normalmente suele oscilar entre uno y quince minutos.
Activación por evento
Las One-Time Passwords activadas por evento se crean al ejecutar una acción determinada, por ejemplo, el accionamiento de una tecla en el token generador. Al igual que en el proceso activado por tiempo, el usuario y el servidor usan el mismo algoritmo. La contraseña se calcula sobre la base de la contraseña vigente anteriormente y así se puede comparar con el servidor.
Solicitud del servidor (activación por estímulo-respuesta)
En este procedimiento, el servidor lanza una solicitud (estímulo) que el cliente debe responder (respuesta). El cliente recibe un valor determinado del servidor y calcula la One-Time Password a partir de ese valor. Como el servidor conoce el algoritmo y el valor indicado, puede comprobar la contraseña generada.
¿Cuándo tiene sentido emplear una One-Time Password?
Las One-Time Passwords son muy recomendables en todas las páginas web y servicios online que manejen datos especialmente sensibles e importantes. Por ejemplo:
- Banca electrónica
- Servicios financieros como depósitos de acciones online o mercados de valores para criptomonedas
- Datos sensibles de empresas
- Canales de comunicación confidenciales
Las One-Time Passwords no son necesarias para todas las páginas web. Pero, en general, debes asegurarte de emplear contraseñas seguras, incluso si usas una contraseña en repetidas ocasiones. Los estudios indican que, a pesar del aumento de la ciberdelincuencia, los usuarios no son lo suficientemente conscientes del riesgo al que están expuestos.
Al margen del procedimiento OTP, existen otros métodos interesantes para aumentar la seguridad que podrían ganar protagonismo en el futuro. Entre ellos se encuentra el nuevo estándar WebAuthn que promete terminar para siempre con la necesidad de memorizar contraseñas.
Vista general de las ventajas e inconvenientes de las One-Time Passwords
Ventajas | Desventajas |
---|---|
Riesgo mínimo en caso de ataques de replay | Requieren tecnología adicional |
Imposibilidad de que una contraseña robada se use en varias páginas o servicios | Los tokens de seguridad pueden fallar o averiarse |
Mayor seguridad para el usuario | El proceso de generación de las contraseñas OTP es, en parte, muy complicado |
- Certificado SSL Wildcard
- Registro privado
- 1 cuenta de correo electrónico por contrato