Se la tua applicazione richiede l'invio di Codici Monouso (OTP) per il ripristino password o 2FA, come consegni quel codice conta. Inviarlo in modo insicuro vanifica completamente lo scopo della verifica di autenticazione.
Il problema con gli OTP via SMS
Per anni, inviare un codice a 6 cifre via SMS era lo standard. Tuttavia, il National Institute of Standards and Technology (NIST) ha deprecato il 2FA basato su SMS.
Perché? Le vulnerabilità della rete SS7 permettono di intercettare i messaggi, e gli attacchi di scambio SIM permettono agli hacker di reindirizzare gli SMS dei tuoi utenti ai propri telefoni.
Alternative sicure agli SMS
1. App di Autenticazione (TOTP)
Invece di inviare un codice, il dispositivo dell'utente lo genera usando un segreto condiviso. Questo è altamente sicuro poiché il segreto non viaggia mai sulla rete dopo la configurazione iniziale.
2. OTP via Email (Con riserve)
L'email può essere intercettata se TLS non viene applicato, ma è generalmente considerata più sicura degli SMS se l'account email dell'utente è protetto da 2FA hardware.
3. Link Magici Crittografati
Invece di un OTP, invia un link crittografato specializzato (simile all'architettura PassLink) che autentica l'utente al clic.
Migliori pratiche per l'invio di OTP
- Applica sempre una finestra di scadenza breve (5-10 minuti massimo).
- Applica un limite di frequenza all'endpoint di generazione OTP per prevenire frodi di SMS pumping.
- Non includere mai la password dell'utente o PII sensibili nello stesso messaggio dell'OTP.
Condivisione delle Chiavi di Configurazione TOTP
Quando configuri un'app di autenticazione per un account aziendale condiviso, spesso devi condividere il codice QR o il segreto base32. Non inviare mai questo tramite Slack. Usa PassLink per generare un link autodistruttivo per il segreto TOTP.
Prova PassLink — È Gratis
Crea un link crittografato e autodistruttivo in 10 secondi. Nessuna registrazione.
Crea un Link Segreto Ora