Gli OTP ovvero i token one time password hanno sostituito da qualche anno la classica username e password nell'accesso all'home banking. Questi strumentio sono sempre stati definiti estremamente sicuri, o ancora peggio strumenti di strong authentication. Purtroppo non sono così sicuri e il processo di autenticazione non è così strong come dicono. Infatti quado tutti i dati di una chiave forte di autenticazione vengon passati attraverso lo stesso canale, il web, è facile studiare soluzioni per catturare quell'informazione e usarla al posto del reale proprietario. E' quello che è stato fatto da malware come Zeus e le sue varianti.
circa un mese fa c'è stato poi un attacco a RSA che "sembra" abbia permesso ad ignoti di entrare in possesso degli algoritmi utilizzati per i token SecureID (http://blog.ironkey.com/?p=1165, http://blogs.gartner.com/avivah-litan/2011/03/19/rsa-securid-incident-should-serve-as-a-wake-up-call-on-strong-otp-user-authentication/). Naturalmente RSA ha tenuto il massimo riserbo sull'accaduto. A distanza di un mese non sono stato chiarito cosa realmente è stato rubato e le le circaostanze che hanno portato a questa compromissione. Tutto questo con buona pace dei mezzi di informazione delle centinai di banche che si affindano a questi token. Nel frattempo decine di milioni di utenti ingari dell'accaduto continuano ad usare i propri token SecureID, certi di avere lo strumento più sicuro. E' questione di aspettare dai 3 ai 6 mesi per vedere i primi veri attacchi basati sui dati rubati.