A autenticação por senhas descartáveis ou One-time password tem ganhado maior adesão nos últimos tempos. Frequentemente, elas são utilizadas como segundo fator de autenticação, algo que você possui, principalmente combinado a uma senha. Uma das primeiras publicações sobre o tema foi de Leslie Lamport em 1981. Neste trabalho, é proposta a geração de senhas baseadas em uma função computacionalmente leve, aplicada a um segredo irreversível. Isso significa que não se deveria recuperar o segredo a partir do resultado da função com características iterativas. Curiosamente, o autor sugere a geração de 1000 senhas para cada usuário e uma fita cassete para armazenamento destes dados.
Os métodos de implementação mais comuns de senhas descartáveis (OTP)
- Baseados em tempo. Assim, as senhas são geradas de acordo com um relógio sincronizado entre o dispositivo e o servidor de autenticação.
- Baseados em iterações. As senhas são geradas a cada nova demanda por autenticação. Com isso, o dispositivo, ao ser acionado mostra a senha e o servidor armazena um contador de tentativas.
- Cartões pré-gerados ou TAN cards. As senhas são pré-geradas e o servidor as mantém armazenadas ou a sua regra de geração. A cada necessidade de autenticação são informadas coordenadas sobre qual senha deve ser informada.
- Desafio / Resposta. Dessa forma, as senhas são geradas mediante a uma informação indicada ao servidor. Não é possível afirmar a técnica utilizada no exemplo a seguir (SMS), mas este possui características compatíveis, como informar o número do celular correspondente a um usuário identificado.