Las contraseñas convencionales tienen muchos puntos débiles, incluso las bien elaboradas y consideradas, en principio, contraseñas seguras. El problema principal es que, si una contraseña se usa de forma regular, existe el riesgo de que haya personas no autorizadas que puedan acceder a ella. A menudo, este acceso fraudulento se consigue mediante ataques de replay: una persona no autorizada intercepta la contraseña y luego la usa para una nueva autenticación.
Ni siquiera hace falta ningún descuido: en los últimos años ha habido numerosos ejemplos en los que incluso las páginas de empresas de lo más serio han sufrido ciberataques y miles de datos de clientes acabaron en las manos equivocadas.
¿Cómo puedes protegerte frente a esta realidad? Una de las opciones es cambiar la contraseña con regularidad, a poder ser, cada poco tiempo. No obstante, evidentemente, no es muy cómodo cambiar las contraseñas con frecuencia. Así que otra solución bastante más sencilla es la One-Time Password (contraseña de un solo uso).
Certificados SSL con IONOS
Protege tu dominio y consigue la confianza de tus clientes con una página web con encriptación SSL.
Activación fácilSeguridad máximaAsistencia 24/7Una One-Time Password es una contraseña que solo se puede usar una vez y luego pierde su vigencia. En español se le suele denominar contraseña de un solo uso o contraseña de uso único. A veces también se usa la abreviatura inglesa OTP o el término compuesto, código OTP.
Por norma general, la contraseña de un solo uso se compone de un código OTP alfanumérico (letras y números) y se genera para un solo proceso de inicio de sesión. Una vez que el usuario ha iniciado la sesión con la One-Time Password, esta pierde su vigencia y ya no podrá usarse para el siguiente inicio de sesión.
Es muy común que las contraseñas de un solo uso se empleen como parte de una autenticación de doble factor, como en la banca electrónica y cada vez en más empresas. Primero se introducen los datos de inicio de sesión convencionales. Luego, el usuario genera una contraseña dinámica de un solo uso, por ejemplo, con un generador de códigos, que también es necesario para la autentificación.
Este paso adicional aumenta notablemente el nivel de seguridad: si una persona no autorizada logra hacerse con la contraseña normal durante este proceso de inicio de sesión, todavía le falta la contraseña dinámica de un solo uso que solo se genera cuando sea necesario. Es por ello que cada vez más servicios online se pasan a la autentificación de doble factor, sobre todo cuando se trata de información sensible.
No confundas la abreviatura OPT de One-Time Password con el One-Time Pad, que también se abrevia OTP. Este es otro procedimiento de codificación, considerado muy seguro, pero bastante más complicado que la aplicación de la One-Time Password.
Para que un inicio de sesión con One-Time Password llegue a buen puerto, tanto el usuario como el sistema en el que se va a usar, deben conocer la One-Time Password. Para garantizar que esto ocurra existen dos métodos diferentes.
Una lista de contraseñas es la forma más sencilla de emplear One-Time Passwords. Se crea una lista previa con varias contraseñas que conocen tanto el usuario como el sistema. Si se emplea una de las contraseñas de un solo uso, el usuario simplemente latacha de la lista.
La desventaja de esta opción es evidente: si el usuario pierde la lista, puede caer en manos de personas no autorizadas. Aunque este tipo de listas con contraseñas One-Time Password sigue empleándose en la banca electrónica, cada vez son más los proveedores que se pasan a las contraseñas OTP de generación dinámica por la desventaja que comentamos anteriormente.
Las contraseñas de un solo uso generadas de forma dinámica son actualmente el método más empleado. Una elección muy frecuente es, por ejemplo, los generadores de contraseñas de hardware: pequeños dispositivos en forma de llavero o cubo que generan una contraseña siempre que haga falta.
Estos dispositivos también se denominan token OTP. Por norma general, todos disponen de una pantalla y generan una One-Time Password para el correspondiente proceso de inicio de sesión con solo pulsar un botón. Estas One-Time Passwords se suelen usar habitualmente junto con otroselementos de autenticación como códigos PIN o identificaciones de usuario.
Para crear una One-Time Password se emplea un algoritmo especial, encargado de generar la contraseña cuando se necesite. Para ello, existen tres posibilidades:
En este procedimiento, el generador de contraseñas (cliente) y el servidor generan contraseñas adaptadas y temporalmente sincronizadas mediante el mismo algoritmo. Una Time-based One-Time Password (TOTP) de este tipo es conocida tanto por el usuario como el servidor y su validez está ligada a un período de tiempo determinado de forma precisa, normalmente suele oscilar entre uno y quince minutos.
Las One-Time Passwords activadas por evento se crean al ejecutar una acción determinada, por ejemplo, el accionamiento de una tecla en el token generador. Al igual que en el proceso activado por tiempo, el usuario y el servidor usan el mismo algoritmo. La contraseña se calcula sobre la base de la contraseña vigente anteriormente y así se puede comparar con el servidor.
En este procedimiento, el servidor lanza una solicitud (estímulo) que el cliente debe responder (respuesta). El cliente recibe un valor determinado del servidor y calcula la One-Time Password a partir de ese valor. Como el servidor conoce el algoritmo y el valor indicado, puede comprobar la contraseña generada.
Las One-Time Passwords son muy recomendables en todas las páginas web y servicios online que manejen datos especialmente sensibles e importantes. Por ejemplo:
Las One-Time Passwords no son necesarias para todas las páginas web. Pero, en general, debes asegurarte de emplear contraseñas seguras, incluso si usas una contraseña en repetidas ocasiones. Los estudios indican que, a pesar del aumento de la ciberdelincuencia, los usuarios no son lo suficientemente conscientes del riesgo al que están expuestos.
Al margen del procedimiento OTP, existen otros métodos interesantes para aumentar la seguridad que podrían ganar protagonismo en el futuro. Entre ellos se encuentra el nuevo estándar WebAuthn que promete terminar para siempre con la necesidad de memorizar contraseñas.
| Ventajas | Desventajas |
|---|---|
| Riesgo mínimo en caso de ataques de replay | Requieren tecnología adicional |
| Imposibilidad de que una contraseña robada se use en varias páginas o servicios | Los tokens de seguridad pueden fallar o averiarse |
| Mayor seguridad para el usuario | El proceso de generación de las contraseñas OTP es, en parte, muy complicado |
Tu propio dominio .mx
Obtén el nombre de dominio que te represente, ¡con tu asesor personal incluido!
BaratoSeguroAsistencia 24/7
¿Compartirías con un extraño la información de tu cuenta bancaria? Seguramente, no. Pero por desgracia es lo que muchos hacen cuando no cuidan lo suficiente su información al usar contraseñas que no cumplen los mínimos parámetros de seguridad y que suponen para los hackers un juego de niños, ya sea para acceder a la banca online o a una cuenta de Amazon. Sin embargo, crear y gestionar contraseñas...
Los gestores de contraseñas son herramientas muy prácticas, ya que permiten llevar un mejor control de las contraseñas utilizadas en el día a día. Normalmente, se ejecutan a través de extensiones del navegador o de aplicaciones de escritorio y están disponibles en todas las plataformas. Para muchos usuarios, 1Password se constituye como uno de los gestores de contraseñas más sólidos del mercado....
Con solo unos clics puedes poner contraseña a una carpeta, ocultar unidades o sincronizar archivos encriptados con una nube. Un buen programa de cifrado puede hacer mucho por la seguridad de tus datos. En este artículo, te recomendamos algunas herramientas gratuitas y de pago para encriptar documentos y te explicamos las ventajas e inconvenientes de cada una.
Ofrece un servicio fiable y de alto rendimiento a tus clientes con un pack hosting de IONOS.
