Supongo que está hablando de un dispositivo móvil de algún tipo que muestra o transmite una contraseña única derivada de un secreto compartido y la hora o un contador compartido. Tales dispositivos se dividen en tres categorías:
- Un dispositivo independiente con pantalla.
- Un dispositivo independiente con una interfaz USB (u otra) a la que se debe acceder a través de una computadora.
- Un dispositivo de propósito general, como un teléfono móvil.
La seguridad relativa de los distintos tipos de dispositivos depende de su modelo de amenaza.
La amenaza más obvia es que un atacante robe o tome prestado el dispositivo. En este escenario, no importa lo difícil que sea extraer la clave del dispositivo: el atacante simplemente necesita poder usarla de la manera habitual.
El atacante solo necesita extraer la clave si quiere poder autenticarse más tarde, pero desea que su potencial de acceso no se detecte. Con este objetivo, el atacante debe obtener acceso temporal al dispositivo, extraer la clave y luego devolver el dispositivo a su propietario. Después de esto, el atacante puede pasar desapercibido siempre que no haga conexiones demasiado frecuentes a la cuenta si la OTP se deriva de un contador, o indefinidamente si la OTP se deriva de la hora.
La seguridad de la clave contra un atacante con acceso físico solo importa si desea protegerse contra el acceso oculto. Un dispositivo independiente puede tener mejor protección contra ataques físicos que un teléfono móvil, sin embargo, dicha protección cuesta dinero, y los tokens de autenticación generalmente son un elemento de bajo costo. Los teléfonos móviles de gama alta tienen cierta protección limitada contra ataques físicos; por ejemplo, no es tan fácil extraer datos de un iPhone. Además, la mayoría de los teléfonos móviles contienen una tarjeta SIM , que es a prueba de manipulaciones; algunos proveedores OTP pueden instalar la clave OTP en la tarjeta SIM. Algunos teléfonos móviles contienen un elemento seguro incorporado, que es similar a la SIM pero está controlado por el fabricante del dispositivo en lugar del operador de la red.
La mayoría de los dispositivos de token OTP muestran la OTP con solo presionar un botón. Un teléfono móvil tiene la oportunidad de requerir autenticación (PIN, gesto de paso, ...). El grado de mejora de la seguridad depende de si el teléfono ha sido desbloqueado y de la solidez de la autenticación.
Existe una amenaza en la que el teléfono móvil obtiene una ligera ventaja: que el usuario pierda el token. Esto es además del beneficio de la usabilidad de tener un solo dispositivo. Un usuario que tiene muchos tokens OTP tiene más probabilidades de perder uno de ellos, o de no darse cuenta de su robo por un tiempo, de lo que es probable que pierda su teléfono móvil.
Una amenaza diferente es la de malware en el dispositivo. Los dispositivos independientes son bastante inmunes, asumiendo que estaban limpios cuando el usuario los recibió. Los teléfonos móviles son vulnerables; un atacante que puede instalar malware que recupera tokens OTP obtiene acceso remoto a las contraseñas de un solo uso. Los dispositivos sin su propia pantalla son igualmente vulnerables al malware en la computadora a la que están conectados, aunque este malware solo podrá obtener una OTP mientras el dispositivo esté conectado.