O que é uma senha de uso único? [Conhecendo a OTP, que é a sigla em inglês para One Time Password]
Uma senha de uso único ou descartável (“OTP”) consiste em uma curta sequência de números e/ou caracteres alfanuméricos gerados de forma automática e entregues ao usuário por um serviço de aplicativo em um endereço de e-mail ou número de celular previamente cadastrado e associado à conta desse usuário. Após receber essa sequência, ela é usada pelo usuário para a verificação de sua identidade. Uma OTP é usada como parte do processo de autenticação para atestar a identidade de um usuário e permitir o acesso a um serviço web ou mobile.
Como o próprio nome deste método de autenticação sugere, as sequências de caracteres e números são desenhadas para serem usadas apenas uma vez e normalmente expiram após alguns minutos ou horas, de acordo com o prazo definido pelo administrador do serviço. Passado o prazo de expiração, o usuário terá que solicitar uma atualização do código para prosseguir com a sequência de autenticação.
Essa estratégia de expiração possibilita à OTP gerar um novo código dinâmico para confirmar que o usuário usando as credenciais é de fato o usuário legítimo e não alguém utilizando as credenciais roubadas. O fato de uma OTP ser única e de curta validade endereça um dos principais problemas de processos de autenticação regulares baseados em senha, isto é, a reutilização de senhas pelos usuários em diferentes sites e serviços. Uma senha regular roubada é passível de uso por fraudadores. Já uma senha de uso único fica vulnerável apenas por um curto período de tempo até a expiração do código.
Em geral, as senhas de uso único chegam para o usuário por um endereço de e-mail ou SMS em um número de telefone previamente cadastrados associados à conta desse usuário. Quando um usuário tenta fazer login colocando o nome de usuário e a senha, também é possível enviar uma OTP para a conta do usuário como uma etapa de segurança adicional. Assim, o usuário receberá a senha de uso único no número de celular cadastrado na conta via SMS ou e-mail e deverá inserir o número ou a série de caracteres para que o login seja concluído com sucesso.
Essas senhas descartáveis são normalmente usadas como parte do processo de autenticação multifator (ou “MFA” que é a sigla para multifactor authentication em inglês) e fornecem um fator de autenticação adicional que é, em geral, uma senha gerada pelo usuário.
Características de uma senha de uso único que a diferenciam quando comparadas a uma senha comum
- Prazo de expiração e limite de uso (uma vez apenas)
- É gerada automaticamente versus uma senha criada pelo usuário
- Pode ser utilizada como um segundo fator na autenticação multifator
Questões de segurança sobre senhas de uso único
Embora as senhas de uso único sejam uma das formas mais populares de fator de autenticação em processos de MFA, há ainda um certo receito quanto à OTP do ponto de vista de segurança. De acordo com as diretrizes de identidade da Agência Governamental Não-Regulatória da Administração de Tecnologia, o NIST (que é a sigla para National Institute of Standards and Technology em inglês), as senhas de uso único entregues por SMS são uma forma restrita de autenticação uma vez que são vulneráveis à interceptação por fraudadores. Uma OTP por SMS é particularmente vulnerável ao que é chamado de golpe de troca de chip (“SIM Swap”), em que um fraudador entra em contato com o suporte ao cliente dizendo que mudou de dispositivo, associando um novo número de telefone a uma conta já existente. Se um fraudador tiver sucesso com o golpe de troca do cartão SIM, então todas as senhas de uso único serão entregues não ao usuário legítimo, mas ao fraudador por meio de seu dispositivo móvel recém cadastrado.
Para os desenvolvedores de serviços mobile e da Web, as senhas de uso único são relativamente fáceis de implementar e os usuários estão, de certa forma, dispostos a usar essa forma de autenticação. No entanto, considerando todas as formas de autenticação, a senha de uso único é vista como moderada do ponto de vista de fricção e moderada a baixa do ponto de vista de segurança. Essas senhas de uso único podem, às vezes, também ser chamadas de códigos de acesso de uso único ou PINs.