Der ultimative Leitfaden für Einmalpasswörter (OTP)

Jedem Unternehmen, das weder Zeit noch Ressourcen aufwenden kann, um Benutzernamen und Passwörter vollständig abzuschaffen, ist klar, dass kompromittierte Login-Daten für betrügerische Angriffe und Datenverletzungen verwendet werden können. Das Ergänzen von Benutzernamen und Passwort durch einen weiteren Authentifizierungsfaktor (auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet), kann mit einem Einmalpasswort (OTP) erfolgen. Laut Microsoft kann die MFA „99,9 % der Angriffe auf Ihre Konten vereiteln.“ 

Die Abkürzung OTP steht sowohl für One-Time-Password als auch für One-Time-Passcode: Eine automatisch generierte Zeichenfolge, die für eine einzige Login-Sitzung oder Transaktion gilt. Das OTP kann aus Buchstaben und/oder Zahlen bestehen und wird im Rahmen des MFA-Prozesses per SMS, E-Mail oder Sprachnachricht gesendet. OTPs können auch als Push-Benachrichtigungen an die benutzerdefinierten mobilen Anwendungen eines Unternehmens oder an die Authentifizierungs-App eines Drittanbieters wie beispielsweise den Google Authenticator gesendet werden. 

Mit Hilfe eines Algorithmus wird bei jeder Abfrage eines Passcodes ein neuer, zufälliger Code erstellt. Hier sehen Sie ein paar Beispiele dafür, wie ein Benutzer das OTP erhalten kann:

Nach der Generierung des OTP kopiert der Benutzer den Code in ein Authentifizierungsfeld oder ein anderes Formular, oder der Code wird automatisch eingefügt. Daraufhin wird er mit dem Authentifizierungsserver abgeglichen, um die Übereinstimmung festzustellen.

Der Benutzer erhält die Meldung „Authentifiziert“ und kann auf sein Konto und die damit verbundenen Ressourcen zugreifen, wenn das OTP der letzte benötigte Authentifizierungsfaktor war.

Nach der Verwendung des OTP oder nach Ablauf des Verwendungszeitraums ist der Code nicht mehr gültig und kann nicht erneut verwendet werden.

Beim zeitbasierten Einmalpasswort (TOTP) wird die Zeit als beweglicher Faktor verwendet, und die Passwörter laufen in der Regel innerhalb von 30 bis 240 Sekunden ab. Das temporäre Passwort wird von einem Algorithmus generiert, der unter anderem die aktuelle Tageszeit als Faktor hinzuzieht.

Die Unternehmen müssen dafür sorgen, dass die Benutzer ihre Passwörter vor Ablauf der Frist erhalten. Damit sind TOTPs in Gebieten ohne Hochgeschwindigkeits-Breitband- oder andere zuverlässige Internetverbindungen nur begrenzt einsetzbar.

HMAC steht für Hash-based Message Authentication Code. Das HMAC-basierte Einmalpasswort (HOTP) ist ereignisbasiert und verwendet einen Zähler als beweglichen Faktor anstelle der Zeit, wobei Seed-Werte und Hashes zur Generierung von Passwörtern verwendet werden. HOTPs wurden vor den TOTPs eingeführt.

Der HOTP-Algorithmus basiert auf einem ansteigenden Zählwert (Hash) und einem statischen symmetrischen Schlüssel (Seed), der nur dem Token und dem Validierungsdienst bekannt ist. Da HOTPs mit Zählern anstelle von Zeit arbeiten, sind sie über einen längeren Zeitraum verfügbar. Ein HOTP ist so lange gültig, bis aktiv ein weiteres angefordert und vom Authentifizierungsserver validiert wird.

Bei der Multi-Faktor-Authentifizierung (MFA) müssen digitale Nutzer mindestens zwei Nachweise ihrer Identität erbringen, die aus verschiedenen Kategorien stammen (etwas, das sie wissen, etwas, das sie haben oder etwas, das sie sind). Einmalpasswörter (OTPs) fallen unter die Kategorie „etwas, das sie haben“, da sie an ein Smartphone oder ein anderes Gerät im Besitz des Benutzers gesendet werden. OTPs können auch über einen Schlüsselanhänger oder einen anderen festen Token generiert werden, den der Benutzer besitzt.

Bei Einsatz einer MFA können Kriminelle keine kompromittierten Login-Daten verwenden, da ihnen der zweite und/oder dritte Authentifizierungsfaktor fehlt. Da das OTP an das Gerät des Benutzers gesendet wird, kann der Hacker das OTP nicht erhalten, solange der Benutzer noch im Besitz seines Geräts ist – die Authentifizierung schlägt fehl. 

OTPs können bei einer Vielzahl von Anwendungen und Diensten zum Einsatz kommen. Dieses kurze Video über den Ablauf einer Zahlung demonstriert die Verwendung eines Einmalpassworts zur Überprüfung der Benutzeridentität.

Ein Einmalpasswort erhöht die Sicherheit eines Benutzerkontos. Es geschieht häufig, dass Benutzer ihre Passwörter weitergeben oder mehrmals verwenden. Es kann auch passieren, dass ihre Passwörter kompromittiert und im Dark Web verkauft werden. Es ist eine zusätzliche Sicherheitsebene erforderlich, wie eben ein OTP, um Cyberkriminelle von Ihrem Netzwerk fernzuhalten.

Ein OTP ist in der Regel ein zweiter Authentifizierungsfaktor und wird als zusätzliche Verifizierungsmethode an das Gerät des Benutzers gesendet. Die MFA ist besonders wichtig bei hochwertigen Transaktionen und dem Zugriff auf sensible Daten ebenso wie bei Logins an risikoreichen Orten wie Flughäfen und bei unbekannten Netzwerken.

Sobald das OTP generiert und an das mobile Gerät des Benutzers gesendet oder durch einen Hard Token im Besitz des Benutzers generiert wurde, wird der Code in das Authentifizierungsfeld oder ein anderes Formular kopiert, das den Code beim Authentifizierungsserver verifizieren lässt. Anschließend kann der Benutzer dann auf sein Konto zugreifen.

Ein Einmalpasswort läuft schnell ab und kann nicht wiederverwendet werden. Deswegen ist es sicherer als herkömmliche Passwörter, die vom Benutzer für mehrere Anwendungen genutzt werden können. Dies sind die Vorteile: 

OTPs sind nur eine der möglichen Authentifizierungsmethoden für die Verifizierung der Benutzeridentität. Informationen über weitere Methoden der Authentifizierung finden Sie in unserem Ultimativen Leitfaden für die Authentifizierung.