La password utilizzabile una sola volta, OTP, one time password.
Di solito utilizzata in meccanismi di 2FA, è collegata al servizio on line che la offre.
La generazione è casuale ma legata al servizio.
La OTP può essere generata da apposite app (Google Authenticator, AndOTP) oppure si riceve via SMS come per lo SPID.
Per intenderci, anche i generatori di token hardware sono OTP, e sono legati ad una password / codice personale dell'utente.
Per sbloccare la app o l'hardware viene richiesto un codice o un riconoscimento personale.
Nel caso delle app è indispensabile ricordare la chiave di recupero per poterlo installare su altri telefonini e continuare ad avere accesso alla app e al servizio collegato, una informazione spesso sottovalutata che richiede un intervento manuale di disattivazione della precedente app sul vecchio telefono per poi attivare il nuovo.
In breve: l'OTP non è solo una singola password utilizzabile una volta sola, brevissima, ma è anche una procedura di gestione della app o del dispositivo hardware perchè generi codici "collegati" al singolo utente. Solo chi ha quel tal id, sbloccato con quella tal password, potrà generare il codice necessario.
Quindi dietro ad un OTP ci sono anche altre credenziali di riconoscimento / recupero.
Di fatto OTP è anche uno dei meccanismi di funzionamento tipici di qualsiasi accesso 2FA.
Cosa che genera ulteriori preoccupazioni: in caso di violazione dell'OTP, la prima password può diventare inutile se gestita male. Di solito però sono necessarie entrambe (AND) e non alternativamente (OR).