Senha de uso único (OTP)

O que é senha descartável (OTP)?

Uma senha de uso único (OTP), também conhecida como senha dinâmica, é uma senha que só pode ser usada uma vez, normalmente durante um curto período de alguns segundos ou minutos após a emissão da senha.

One-Button Hardware Authenticator and Lock

Como as senhas de uso único (OTPs) funcionam?

Em alguns aplicativos, uma série de senhas de uso único (OTPs) é pré-determinada ou mesmo impressa, mas na maioria dos aplicativos hoje em dia, um senha descartável (OTP) é gerado em tempo real por um autenticador de software ou hardware que um usuário possui. O autenticador que o usuário possui compartilha uma chave criptográfica com o verificador, que é o software que está tentando verificar a identidade do usuário. 

Independentemente da maneira como é gerado, cada OTP pode ser usado apenas uma vez. O verificador que verifica a senha como um meio de verificar a identidade de um usuário rejeitaria o uso repetido de uma senha.

Em muitos casos, o uso de um autenticador OTP é apenas um componente de um processo de autenticação multifator. Ao combinar um OTP com outro fator, como uma senha estática ou uma assinatura biométrica de algum tipo, as informações podem ser mais seguras do que apenas uma senha estática memorizada.

Os benefícios das senhas únicas

A adoção de OTPs (senhas de uso único) pode oferecer uma alternativa mais segura ou até complementar uma senha estática memorizada como parte de um processo de autenticação multifatorial. Isso ocorre porque uma senha que foi comprometida seria pouco útil para alguém que tenta comprometer uma conta ou aplicativo.

Com senhas estáticas, um hacker ou fraudador que obtém a senha de um usuário teria acesso a informações potencialmente confidenciais até que essa senha seja alterada. Em um cenário ainda pior, quem quer que comprometa essa conta pode alterar a senha antes que seu legítimo proprietário possa alterá-la e proteger suas informações.

Devido à sua natureza de uso único, os OTPs têm o potencial de proteger um aplicativo ou conta para que, mesmo no caso de um invasor capturar uma senha, eles não possam reutilizá-la em uma segunda tentativa. Um usuário vítima de um golpe de phishing ou malware que captura as teclas digitadas ainda estaria protegido. As informações permaneceriam protegidas dos métodos convencionais de roubo de senha.