O que é uma senha de uso único? Entenda tudo sobre a OTP e as vantagens dessa camada de prevenção à fraude

Até junho de 2024, o fraudômetro da Serasa Experian identificou mais de 4,5 milhões de tentativas de fraude de identidade no Brasil. Com essa informação, fica visível a importância de se preparar para as ameaças da era digital, não é mesmo?

Seja por meio da criptografia ou da autenticação multifatorial, é essencial fazer o possível para manter seguros todos os dados sensíveis com os quais você lida diariamente no ambiente empresarial. Hoje, trouxemos as senhas de uso único como pauta principal.

Se você quer aprender a implementar OTPs na sua empresa de forma estratégica, não pode deixar o conteúdo de hoje passar, viu? Fique conosco e aproveite a leitura!

O que é uma senha de uso único?

Uma senha de uso único (OTP, sigla em inglês para One-Time Password) é um código gerado automaticamente e válido apenas para uma única sessão de login ou transação. Sua utilização é uma medida de segurança eficaz para proteger sistemas e dados sensíveis contra acessos não autorizados e ataques cibernéticos, como phishing e replay attacks.

Em outras palavras, as OTPs são curtas sequências de números e/ou letras geradas por um aplicativo de autenticação e enviadas ao usuário por e-mail ou telefone celular. Eles são previamente cadastrados na conta com a finalidade de verificar sua identidade e, assim, liberar seu acesso.

A vantagem das senhas de uso único é sua capacidade de expirar. Isso significa que, além da senha normal, pode ser enviada uma OTP como 2FA. Após alguns minutos, o código enviado não será mais válido caso alguém tente reutilizá-lo. Em casos de contaminação em dispositivos, por exemplo, o criminoso não conseguirá utilizar a OTP identificada para tentar fazer o mesmo acesso.

Como funcionam as OTPs?

As senhas de uso único são geradas por meio de processos específicos que garantem sua unicidade e segurança, podendo ser classificadas, principalmente, em dois tipos: baseadas em tempo (TOTP) e baseadas em contador (HOTP). Confira:

TOTPs (Time-Based OTPs ou OTPs baseadas em tempo)

TOTPs são OTPs baseadas no tempo. Elas utilizam o tempo atual como uma variável na geração da senha, o que significa que são válidas apenas por um curto período (geralmente 30 segundos).

O processo de geração de TOTP começa com a entrada de dados, ou seja, a chave secreta (valor compartilhado entre o servidor e o cliente) e o timestamp (tempo atual), normalmente convertido em um valor numérico.

Depois, é feito o cálculo do timestamp, sendo dividido pela validade da senha (por exemplo, 30 segundos), gerando um número inteiro que representa o tempo atual. Se o timestamp atual for de 1622548800 e o intervalo for de 30 segundos, esse período seria 1622548800 / 30 = 54084960.

Em seguida, a chave secreta e o intervalo são combinados usando o algoritmo HMAC (código de autenticação de mensagem), e posteriormente terão 4 bytes convertidos em um número inteiro. Em seguida, serão aplicados a uma operação de módulo para obter um número de 6 dígitos, ou seja, a TOTP.

HOTPs (HMAC-Based OTPs ou OTPs baseadas em contador)

Por sua vez, a HOTP é um algoritmo de geração de OTPs baseado em contador. Isso quer dizer que, em vez de usar o tempo, ela usa um contador que é incrementado a cada solicitação de senha, podendo aumentar a cada uso. O processo de geração se inicia com a entrada da chave secreta e o contador.

Depois, ambos também são combinados usando o algoritmo HMAC, normalmente com SHA-1 como a função hash subjacente (transforma os dados de entrada em um valor hash de 160 bits). Isso resulta em uma porção convertida em um número de seis dígitos: a HOTP.

Ambos os métodos combinam uma chave secreta com um valor variável (tempo ou contador) e aplicam um algoritmo hash para gerar a OTP. Assim, eles garantem que cada senha seja única e válida por um curto período ou até ser usada, aumentando a segurança dos sistemas.

Vantagens da utilização de uma OTP

As vantagens da utilização de uma OTP no meio empresarial envolvem, basicamente, o aumento da segurança de dados, a prevenção à fraude em razão da multiplicidade dos fatores de autenticação e a grande facilidade de implementação. Confira!

Aumento da segurança

Assim como outros fatores de autenticação multifatorial, como o reconhecimento facial, as OTPs aumentam a segurança ao introduzir uma camada adicional de autenticação, além das tradicionais combinações de usuário e senha.

Como vimos, os métodos TOTP e HOTP garantem que cada código gerado seja único e válido apenas por um curto período. Portanto, mesmo que as credenciais principais sejam comprometidas, o acesso indevido é significativamente dificultado devido à temporalidade e a unicidade das OTPs.

Além disso, o uso de algoritmos criptográficos como SHA-1 na geração das OTPs assegura que os códigos sejam praticamente impossíveis de prever ou reproduzir, fortalecendo ainda mais a segurança contra ataques de hackers. Com isso, a empresa fica menos suscetível ao roubo e à venda de dados sensíveis de clientes e stakeholders na Dark Web.

Prevenção à fraude

Até aqui, você pôde perceber que as senhas de uso único têm potencial considerável quando falamos sobre a prevenção de fraudes, afinal, elas garantem autenticações únicas e temporárias para cada transação ou sessão de login. Isso dificulta a interceptação ou a replicação de códigos OTP válidos.

Como cada senha é válida por um curto período e é descartada após o uso, a janela de oportunidade para atividades fraudulentas é drasticamente reduzida. Isso protege não apenas os dados sensíveis, mas também a integridade das transações financeiras, as operações críticas da empresa e até previne fraudes que causam risco reputacional.

Facilidade de implementação

A implementação de OTPs nos sistemas empresariais costuma ser simples e eficiente, assim como a criptografia de ponta a ponta em sites. Aplicativos móveis populares, como o Google Authenticator, facilitam tanto a geração quanto o uso de OTPs por parte dos usuários finais.

Por outro lado, a integração dessas tecnologias com outros sistemas existentes, como as soluções de autenticação multifatorial (MFA) da Serasa Experian e serviços de gerenciamento de identidade (IAM), é essencial para empresas que lidam diariamente com uma grande quantidade de dados sensíveis.

Essa completude simplifica não somente a adoção de medidas adicionais de segurança cibernética, mas também fortalece as defesas cibernéticas das instituições sem exigir grandes investimentos em infraestrutura adicional. Além disso, minimiza o impacto na experiência do usuário final.

Como as OTPs podem ser implementadas na prática?

Além de ajudarem a cumprir requisitos de conformidade com as normas de segurança, como o Regulamento Geral sobre a Proteção de Dados (GDPR), na Europa e a LGPD, no Brasil, as senhas de uso único podem ser utilizadas na autenticação de login, em transações financeiras, no acesso a sistemas corporativos e em outros processos que exigem um nível elevado de segurança.

Autenticação de usuários

As senhas de uso único são bastante utilizadas na autenticação de usuários e entidades que necessitam de uma camada adicional de segurança, que esteja além das credenciais tradicionais de usuário e senha. Como comentamos, após inserirem suas credenciais, os usuários recebem um código OTP em seus dispositivos móveis por meio de ferramentas específicas.

Esse código é válido por um curto período, geralmente 30 ou 60 segundos, e é utilizado com as credenciais para confirmar sua identidade. Isso reduz significativamente o risco de acessos não autorizados mesmo se as senhas padrão forem comprometidas, já que o código OTP é necessário para completar o processo de autenticação.

Proteção de transações financeiras

No contexto de transações financeiras online, as OTPs se destacam ainda mais na proteção contra fraudes. Depois que o usuário insere suas credenciais bancárias para realizar uma transferência ou pagamento online, por exemplo, uma OTP é enviada para seu dispositivo móvel ou e-mail registrado.

Então, esse código é utilizado para autorizar a transação específica. Aqui, a temporalidade e a unicidade das senhas de uso único garantem que cada transação seja devidamente autenticada e que apenas o usuário legítimo possa completá-la.

Acesso a sistemas corporativos

Além dos exemplos citados, as OTPs também são essenciais quando falamos sobre acesso seguro a sistemas e dados sensíveis das empresas. O ideal é que funcionários, fornecedores e parceiros sejam obrigados a utilizar senhas de uso único além de suas credenciais padrão ao fazer login em sistemas corporativos ou ao acessar informações confidenciais.

Essa obrigatoriedade oferece uma camada adicional de segurança contra acessos não autorizados, especialmente quando os colaboradores estão trabalhando remotamente ou acessando sistemas críticos fora do ambiente tradicional de rede interna da empresa.

Afinal, não queremos um sistema inteiro possivelmente contaminado por spywares e ransomwares, não é mesmo? Imagine só ter os arquivos e dados dos computadores do seu negócio criptografados, sequestrados e utilizados para solicitar uma quantia em troca de sua devolução? Pois é!

Proteja o seu negócio com as ferramentas da Serasa Experian!

Para proteger os dados sensíveis de clientes, parceiros comerciais, fornecedores e demais stakeholders da sua organização, você precisa contar com ferramentas potentes e de confiança, capazes de evitar fraudes de identidade e roubos de dados, seja nas etapas de onboarding, login ou transacional.

Pensando nisso, é claro que a Serasa Experian não poderia ficar de fora! As OTPs fazem parte de um dos múltiplos fatores de autenticação que oferecemos aos nossos clientes no produto MFA, juntamente com a validação por e-mail, SMS, push e chamadas de voz.

Seja para bancos, seguradoras, aplicativos, varejistas, telecomunicações, e-commerce, operadoras de saúde ou programas de fidelidade, nossas soluções garantem que apenas os clientes legítimos tenham acesso às contas, o que permite expandir seus negócios com confiança e segurança.

Ao incorporar as operações do AllowMe, player referência em risco de dispositivos, fortalecemos ainda mais nossa expertise tecnológica para oferecer soluções automatizadas e inteligentes que combinam analytics avançados com o melhor ecossistema de big data do mercado. Fale agora mesmo com um de nossos especialistas e aproveite!