OTP (One-Time Password, Einmalpasswort)

Beispiele für Einmalpasswörter

OTP-Security-Token existieren beispielsweise als Smartcard oder in Form von Schlüsselanhänger, die einen numerischen oder alphanumerischen Code erzeugen, um den Zugang zum System oder zu einer Transkation zu erzeugen. Dieser Code ändert sich beispielsweise alle 30 oder 60 Sekunden, die Intervalle lassen sich meist konfigurieren. Zudem existieren Apps für Smartphones wie Google Authenticator oder Microsoft Authenticator, die das Einmalpasswort beispielsweise für eine zweistufige Authentifizierung generieren, um beispielsweise einen sehr sicheren Zugang zu Webdiensten zu realisieren. OTP-Sicherheitstoken können daher auf unterschiedliche Weise in Anmeldevorgänge implementiert werden. Während herkömmliche Passwörter statisch bleiben oder nach einem bestimmten Zeitraum wie 90 Tagen gewechselt werden müssen, gilt und funktioniert das Einmalpasswort für genau eine Transaktion oder eine Anmeldesitzung.

Wie Anwender ein Einmalpasswort bekommen

Wenn ein nicht authentifizierter Benutzer versucht auf ein System zuzugreifen oder eine Transaktion auf einem Gerät durchzuführen, generiert ein Authentifizierungsmanager auf dem Server eine Nummer oder ein gemeinsames Geheimnis unter Verwendung von Einmalpasswort-Algorithmen. Dieselbe Nummer und derselbe Algorithmus werden vom Sicherheitstoken oder der App verwendet, um das Einmalpasswort und Benutzer abzugleichen und zu validieren.

Für eine ganze Weile war es durchaus gebräuchlich, dass diese Einmalpasswörter auch als Textnachricht (SMS) auf das Mobiltelefon des Anwenders geschickt werden. Inzwischen ist diese Art des Versandes von Einmalkennwörtern im Hinblick auf die Sicherheit nicht unumstritten und in der Regel haben viele Dienste ihre Systeme, etwa auf App-basierte-Ansätze, umgestellt.

Bei einer Zwei-Faktor-Authentifizierung (2FA) in Unternehmen gibt der Anwender in der Regel seine Nutzer-ID (Benutzername) an, sein herkömmliches Passwort und einen temporären Passcode, um auf das Konto oder das System zugreifen zu können.

Wie Einmalpasswörter funktionieren

Bei OTP-basierten Authentifizierungsmethoden sind die OTP-Anwendung des Benutzers und der Authentifizierungsserver auf gemeinsame Geheimnisse angewiesen. Werte für Einmalpasswörter werden üblicherweise unter Verwendung des HMAC-Algorithmus (Hash-based Message Authentication Code) und eines weiteren Faktors generiert. Dabei kann es sich um zeitbasierte Informationen (TOTP, time-based one-time password) oder einen Ereigniszähler handeln. Zur verbesserten Sicherheit haben die OTP-Werte einen Zeitstempel. Das Einmalpasswort kann dem Anwender dann auf unterschiedlichen Kanälen zugestellt werden, etwa wie erwähnt per SMS oder auch per E-Mail oder einer dedizierten Anwendung auf dem Endpunkt.

Hinsichtlich der Verwendung von SMS existieren wie oben geschildert bei Security-Experten Bedenken, dass SMS-Spoofing und Man-in-the-Middle-Angriffe (MitM) genutzt werden könnten, um solche Ansätze auszuhebeln. Infolgedessen sollten Unternehmen, die den Einsatz von Einmalpasswörtern in Erwägung ziehen, andere Zustellungsmethoden in Betracht ziehen.

Die Vorteile eines Einmalpassworts

Ein Einmalkennwort vermeidet die üblichen Probleme, denen IT-Admins und Security-Verantwortliche bei der Passwortsicherheit begegnen. Sie müssen sich keine Gedanken darüber machen, wie Nutzer die Passwörter generieren, ob diese bekannte oder bekanntermaßen schlechte Kennwörter verwenden. Und auch die Wiederverwendung oder gar gemeinsame Nutzung von Passwörtern für mehrere Zugänge und Systeme ist nicht möglich. Ein weiterer Vorteil von Einmalpasswörter ist, dass sie nach kurzer Zeit ungültig werden, was Angreifer daran hindert, an die Codes zu gelangen und diese wiederzuverwenden.