O que é uma One-Time Password (OTP)? Guia completo com tudo o que você precisa saber

O que é uma OTP?

OTP é a sigla para One-Time Password, que significa senha de uso único na tradução para o português. Elas são códigos únicos de autorização gerados de forma automática e usados para realizar a autenticação dos usuários durante os processos de log in em uma conta, sistema, software ou rede.

A principal diferença entre as senhas de uso único e as senhas convencionais é que as OTPs só são validas uma única vez e só podem ser usadas durante um período de tempo determinado. Ou seja: elas não podem ser reaproveitadas nem utilizadas depois que o prazo de validade expira.

As senhas tradicionais podem ser usadas indefinidamente, até que os usuários decidam alterá-las ou algum problema de segurança exija uma mudança de senha (o que depende dos protocolos de segurança de cada sistema, programa, rede ou plataforma).

Os sistemas de autenticação de dois fatores ou de autenticação multifatorial (MFA) utilizam as OTPs como um dos métodos para realizar a confirmação de um acesso. Estas práticas exigem duas ou mais formas de confirmação para efetivar acessos às contas e redes dos usuários e são uma forma muito eficiente de impedir ciberataques.

Dessa forma, mesmo que um cibercriminoso consiga roubar as senhas de uma vítima (em um ataque de phishing, com o uso de um malware ou até mesmo descobrindo a senha através de um ataque de força bruta ou em um vazamento de dados), a conta fica protegida porque é exigido ao usuário realizar um procedimento adicional de confirmação. É neste sentido que as senhas de uso único se tornam fundamentais: elas garantem uma forma extra de verificação de acesso.

Senhas de uso único versus senhas tradicionais

As senhas de uso único têm várias diferenças em relação às senhas convencionais.

Senhas tradicionais são criadas pelos usuários e ficam válidas até que os próprios usuários realizem uma mudança de senha (que pode ser solicitada quando a pessoa se esquece da senha ou através das configurações da conta), ou seja, elas não têm prazo de validade.

As pessoas podem criar suas próprias senhas manualmente ou usar ferramentas de geração de senhas. Por outro lado, as senhas de uso único só ficam válidas durante determinado período de tempo e podem ser usadas uma única vez, sendo geradas pelos próprios sistemas de autenticação. De modo simples, enquanto as senhas tradicionais são reutilizáveis, as senhas de uso único são descartáveis.

Como uma OTP funciona?

O funcionamento das senhas de uso único pode parecer difícil, mas o processo é simples de entender. A ideia por trás desse tipo de senha é realizar uma autenticação com dois métodos ou mais através de dois de três dos elementos abaixo:

• Algo que você conhece e sabe (como sua senha de uso pessoal, ou alguma resposta para uma pergunta específica);
• Algo que você possui (como um token, um dispositivo de identificação criptográfica ou um código de acesso);
• Algo que faça parte de você (como sua identificação biométrica ou identificação facial).

Enquanto as senhas convencionais são criadas pelos usuários (ou geradas automaticamente quando há esta opção), a senha de uso único é algo que você tem por um tempo limitado e cujo uso é único. É assim que a maioria das one-time passwords funcionam:

• Quando o usuário tenta logar na conta ou em um aplicativo, a plataforma solicita a confirmação da identidade ao inserir uma série de números e/ou letras e outros caracteres.
• Este código de acesso é gerado automaticamente através de uma HMAC (Hashed Message Authentication Code, ou código de autenticação de mensagens com hash) e um moving factor (fator em movimento ou fator temporário). Os dois principais moving factors de uma OTP são os eventos time based (com base em tempo, representados pela sigla TOTP) e event based (baseados em eventos, representados pela sigla HOTP). Vamos abordar cada um deles de forma mais detalhada logo mais.
• A senha de uso único é entregue através de um canal que só o(a) usuário(a) deve poder acessar, seja por e-mail, app de autenticação, mensagem de texto, dispositivo com chave de segurança ou notificação push.
• Depois de recebê-la, basta que o(a) usuário(a) digite a senha de uso único no campo solicitado e faça a autenticação de identidade.

Você pode gerar uma OTP de várias formas, e nós vamos falar das principais logo abaixo.

Tipos de senhas de uso único

Existem dois tipos principais de OTP: HOTP e TOTP. Apesar de ambos cumprirem com o propósito de permitir processos de verificação de usuários, cada um desses tipos possui suas próprias características.

HOTP

As senhas do tipo HOTP (HMAC-based one-time password, sendo que HMAC se refere a Hash-Based Message Authentication Code – ou código de autenticação de mensagem baseado em hash de senha de uso único com base em código) são senhas de uso único com base em mensagens de código de autenticação.

Essas mensagens contêm códigos de autenticação específicos que envolvem a função de criptografia de hash e uma chave criptográfica secreta.

Quando alguém solicita uma HOTP, o código gerado só é válido até que uma nova solicitação seja feita. Isto acontece porque a geração do HOTP é baseada em um contador. O servidor e o gerador da senha de uso único ficam sincronizados cada vez que o código é validado e o(a) usuário(a) acessa a conta.

Um bom exemplo de gerador de OTP que usa HOTP é a YubiKey da Yubico, uma pequena chave de segurança que você pode usar para proteger várias contas.

TOTP

Enquanto as senhas de acesso único do tipo HOTP são baseadas em eventos, as senhas de acesso único da categoria TOTP são baseadas em tempo. TOTP é a sigla para Time-Based One-Time Password (senha de uso único baseada em tempo). O TOTP utiliza o mesmo algoritmo que o HOTP, mas substitui o contador de eventos por um contador de tempo.

Quando uma pessoa solicita uma TOTP, o código gerado só é válido durante um período de tempo determinado, que geralmente vai de 30 a 90 segundos, no máximo. Depois deste prazo, o código expira e não pode mais ser usado. As senhas de uso único do tipo TOTP geralmente são mais seguras do que as do tipo HOTP porque expiram com mais frequência.

Exemplos de senhas de uso único

Os sistemas de OTP são muito usados por empresas de vários ramos e indústrias, que vão de instituições financeiras até escolas.

Acessar sua conta bancária, fazer mudanças em uma reserva online de hotel ou acessar um sistema de ensino são apenas alguns dos processos que podem solicitar um código específico para confirmar a sua identidade e validar o acesso.

Aqui estão alguns dos exemplos mais significativos do uso das senhas de uso único:

Autenticação de e-mail ou texto

O exemplo mais simples e acessível de autenticação via OTP é através do recebimento de e-mails ou mensagens de texto que contêm uma senha de uso único.

Muitas empresas usam as OTPs como parte de métodos de autenticação de dois fatores ou autenticação de múltiplos fatores para confirmar transações, alterações nas configurações e dados ou mudanças em reservas, por exemplo.

Dispositivos de autenticação

Os dispositivos de autenticação (também conhecidos como chaves de segurança) são dispositivos de hardware que produzem senhas de uso único. Entre eles, podemos listar key fobs (ou chaveiros de bolso) como a YubiKey, que consegue gerar códigos de uso único com combinações numéricas ou alfanuméricas.

Smart cards

Já os smart cards, também conhecidos como cartões de display OTP, são cartões com microprocessadores que se parecem bastante com cartões de crédito ou débito. Eles possuem uma tela LCD que mostra a senha de uso único.

O SafeNet OTP Display Card e o Feitian OTP Display Card são exemplos de cartões inteligentes que se encaixam nesta categoria.

Aplicativos de dispositivos móveis

Outra forma muito comum de uso das senhas de uso único é através de aplicativos de autenticação usados para gerar os códigos de uso único. Estes aplicativos funcionam de modo parecido com os tokens de segurança, mas os códigos são gerados nos próprios apps.

As pessoas podem copiar o código para fazer a verificação de identidade ao logar em um website, app ou serviço em geral. Google Authenticator, Authy e Microsoft Authenticator são alguns exemplos de apps autenticadores.

Os benefícios e vantagens das OTPs

Entre os principais pontos positivos de uso de senhas de uso único, vale a pena destacar:

• Melhora na segurança digital: o uso de OTP como fator de autenticação adicional diminui significativamente as suas chances de sofrer com ciberameaças. A autenticação multifatorial reduz os riscos de acessos não autorizados, golpes online, disseminação de malware, violação de dados e outras ameaças digitais.
• Prevenção contra replay attacks: os replay attacks (ou ataques de repetição) são feitos por cibercriminosos que interceptam o tráfego de internet da vítima e usam este tráfego para obter acesso a perfis online. As OTPs ajudam a prevenir este tipo de ciberataque, principalmente em transações bancárias, já que elas só podem ser usadas por um determinado período e para uma única transação.
• Não há nenhuma necessidade de se lembrar delas: as senhas de uso único não precisam ser armazenadas nem memorizadas, já que são geradas automaticamente e só podem ser usadas uma única vez, o que as torna descartáveis.
• Uso fácil e rápido: o processo de autenticação com senha de uso único é rápido e fácil. Tudo o que você tem que fazer é inserir o código recebido em um canal indicado para confirmar o seu acesso com segurança e confiabilidade. As OTPs são muito usadas em processos de SSO.

Os pontos negativos e desvantagens das senhas de uso único

• Problemas de segurança: apesar de oferecerem um ótimo nível de segurança (principalmente quando comparadas com senhas tradicionais), as senhas de uso único não são completamente infalíveis. Hackers podem burlar os sistemas de OTP de diversas formas, inclusive através de ataques de phishing ou de engenharia social.
• Problemas de acesso e atrasos: nem todos os sistemas de OTP são tão eficientes quanto deveriam ser. Muitas vezes, os usuários podem enfrentar um atraso no recebimento de e-mail ou mensagens com o código de acesso único. E, muitas vezes, estes códigos podem até mesmo nem chegar. Isso inviabiliza o acesso a serviços e contas importantes e pode ser um grande transtorno.
• Necessidade de esforço adicional: a autenticação por OTP não é tão simples quanto o processo de inserir um nome de usuário e uma senha tradicional. As pessoas podem precisar concluir passos adicionais para confirmar ações, o que exige um nível maior de esforço e tempo.
• Os processos podem ser inconvenientes: em muitos casos, as pessoas precisam ter o smartphone em mãos ao usar autenticação OTP (como quando precisam usar um app de autenticação para gerar a senha de uso único ou para receber códigos via SMS e mensagens de texto em outras plataformas, como o WhatsApp). Sim, muitas pessoas ficam com o celular o tempo inteiro, mas o fato de ser necessário recorrer aos dispositivos móveis pode ser inconveniente.

As senhas de uso único são seguras?

As OTPs são consideradas bastante seguras e eficazes enquanto método de verificação e são muito usadas mundialmente, tanto por empresas quanto por pessoas.

A possibilidade de oferecer acesso seguro a aplicações é um desafio constante e medidas de segurança como as senhas de uso único são simples, eficientes e confiáveis para garantir proteção às contas e dados das pessoas.

O uso das senhas únicas adiciona uma camada extra de segurança para os processos de login e garante acesso seguro às contas e aplicações. As OTPs são mais seguras do que as senhas tradicionais (principalmente quando essas últimas são senhas fracas e com combinações óbvias).

Entretanto, assim como a maioria dos métodos de login, os sistemas OTP só são parcialmente seguros. Os hackers podem encontrar meios de usar as senhas de acesso único para acessar as contas das vítimas, mesmo que estes processos não sejam tão fáceis.

As senhas de uso único também podem ser atingidas por certos tipos de golpes, engenharia social, phishing, sequestro de e-mail ou roubo de códigos de SMS. Por isso, é muito importante adotar ações preventivas, mesmo ao se usar OTPs.

Mas é importante reforçar que, sim, as senhas de uso único são um método bastante confiável e seguro de realizar autenticação de acesso e confirmação de ações.

Como melhorar a segurança das senhas?

Mesmo com a proteção e o uso de senhas de OTP, é fundamental criar senhas fortes para proteger suas contas. Crie senhas longas com alternância de letras maiúsculas e minúsculas, números e caracteres especiais.

Além disso, usar um bom gerenciador de senhas como o NordPass ou o LastPass ajuda a armazenar suas credenciais com segurança, praticidade e confiabilidade.

Confira nossos guias sobre como recuperar seu Instagram hackeado e o que fazer se seu Facebook for hackeado. E, para diminuir sua exposição online, dê uma olhada no nosso conteúdo sobre como excluir sua conta no Snapchat.

Alternativas às OTPs

Há alguns mecanismos e aplicações que servem como alternativas às senhas de acesso único. São eles:

• Geradores de senhas: geradores de senhas como NordPass são capazes de gerar senhas fortes e únicas, garantindo maior proteção às suas contas.
• Memorizadores de credenciais: memorizadores de credenciais, como o 1Password, permitem que os usuários possam salvar informações de login e acessar contas em websites com apenas um clique de forma segura.
• Autenticação via QR code: outra forma muito segura de validar um acesso é através da leitura de um QR code, que também é gerado de forma única. Muitos aplicativos oferecem essa opção aos usuários.