O que é uma OTP? | One Time Password

Você já precisou receber um código via celular ou e-mail para completar o acesso em um aplicativo? Se sim, então já experimentou o uso de uma One Time Password, ou OTP.

• Single Sign-On: como funciona o login único para vários sites
• Melhores autenticadores de senha para celular

O que é a One Time Password?

A One Time Password é um código alfanumérico aleatório que só pode ser usado uma vez para validar o acesso em uma plataforma. Em tradução livre, a OTP pode ser interpretada como “senha de uso único”: esses códigos são gerados aleatoriamente pela respectiva plataforma de login ou por aplicativos de autenticação e enviados ao usuário por e-mail ou celular.

Além do uso único, a OTP também tem um prazo de validade. Só é possível usar a senha recebida uma vez e no tempo estabelecido — após esse período, você precisa solicitar o envio de um novo código para retomar a tentativa de login.

Para que serve a OTP?

A One Time Password é usada para garantir uma camada a mais de segurança em tentativas de login e provar que o acesso é feito pelo próprio usuário. Devido ao uso único e tempo para expiração, esse recurso leva vantagem sobre a senha estática, aquela criada no momento do cadastro.

As senhas convencionais estão sujeitas a vazamentos e podem ser interceptadas por outras pessoas, dessa forma, invasores precisam apenas dessa informação para acessar sua conta. Quando há um sistema de OTP ativo, ainda é necessário obter o código por SMS ou e-mail para concluir o acesso, o que dificulta a invasão.

Os códigos de senhas descartáveis são frequentemente vistos na autenticação em dois fatores: após usar a senha tradicional, a plataforma exige a sequência alfanumérica gerada. E-mail e SMS são opções comuns para concluir o login, mas também existe a alternativa pelos apps de autenticação, como o Google Authenticator, que usam um tempo de validade mais curto para as senhas.

Por outro lado, ainda existem vulnerabilidades com a própria OTP. No caso do envio por SMS, por exemplo, os códigos podem ser interceptados por quem tiver o chip do celular. Nesse caso, os aplicativos de autenticação oferecem uma experiência mais segura.

Por que recebi uma mensagem de “OTP inválido”?

Em algumas situações, o processo de autenticação pode apresentar uma mensagem de erro. Quando a plataforma informa sobre código de OTP inválido, existem algumas possíveis causas:

• O tempo de uso expirou;
• O usuário solicitou outro código e usou uma versão antiga;
• O código não foi inserido corretamente.

Para resolver, é recomendável solicitar o envio de outro código e conferir a caixa de entrada do e-mail.