Tra­di­tio­nel­le Kenn­wör­ter haben viele Schwach­stel­len. Das gilt sogar für sorg­fäl­tig aus­ge­wähl­te und ei­gent­lich sichere Pass­wör­ter. Das Haupt­pro­blem: Wird ein Passwort re­gel­mä­ßig verwendet, besteht die Gefahr, dass Unbefugte Zugriff auf das Passwort erhalten. Häufig geschieht dies durch so­ge­nann­te Replay-Attacken: Das Passwort wird ab­ge­fan­gen und an­schlie­ßend von Un­be­rech­tig­ten zur erneuten Au­then­ti­fi­zie­rung verwendet.

Daran muss nicht einmal die eigene Un­acht­sam­keit schuld sein: In den ver­gan­ge­nen Jahren gab es wie­der­holt Fälle, in denen selbst bekannte Online-Dienste Ziel von Hacker-Angriffen wurden und Tausende Kun­den­da­ten in die falschen Hände gelangten.

Wie kann man sich dagegen schützen? Eine Mög­lich­keit ist, das Passwort in re­gel­mä­ßi­gen, möglichst kurzen Abständen zu ändern. Al­ler­dings möchte man auch nicht jeden Tag seine Pass­wör­ter ändern. Eine andere Lösung, die sich weitaus einfacher rea­li­sie­ren lässt, ist das so­ge­nann­te One-Time Password (dt. Ein­mal­pass­wort).

SSL-Zer­ti­fi­kat kaufen
Sichern Sie sich Ihr SSL-Zer­ti­fi­kat
  • Ver­schlüs­selt die Website-Kom­mu­ni­ka­ti­on
  • Ver­hin­dert Si­cher­heits­war­nun­gen
  • Ver­bes­sert die Google-Plat­zie­rung

Was ist ein One-Time Password?

Ein One-Time Password ist ein Passwort, das einmal verwendet werden kann und dann verfällt. Die deutsche Über­set­zung des Begriffs lautet dem­entspre­chend Ein­mal­pass­wort oder auch Ein­mal­kenn­wort. Häufig liest man auch die Abkürzung OTP oder, davon ab­ge­lei­tet, OTP-Code.

Das Ein­mal­kenn­wort besteht in der Regel aus einem al­pha­num­me­ri­schen OTP-Code (Buch­sta­ben und Zahlen) und wird jeweils für einen Log-in-Vorgang generiert. Nachdem sich der Nutzer mit einem One-Time Password an­ge­mel­det hat, verliert dieses seine Gül­tig­keit und kann für den nächsten An­mel­de­vor­gang nicht mehr verwendet werden.

Ein­mal­pass­wör­ter werden häufig im Rahmen einer Zwei-Faktor-Au­then­ti­fi­zie­rung ein­ge­setzt, etwa im Online-Banking, vermehrt aber auch in Un­ter­neh­men. Dabei werden zunächst die regulären An­mel­de­da­ten ein­ge­ge­ben. An­schlie­ßend erzeugt der Nutzer ein dy­na­mi­sches Ein­mal­kenn­wort, bei­spiels­wei­se mit einem Code-Generator, das ebenfalls für die Au­then­ti­fi­zie­rung er­for­der­lich ist.

Dieser zu­sätz­li­che Schritt sorgt für ein deut­li­ches Mehr an Si­cher­heit: Wenn sich ein Un­be­fug­ter bei diesem An­mel­de­ver­fah­ren Zugriff auf das reguläre Passwort ver­schafft, fehlt ihm immer noch das dy­na­mi­sche Ein­mal­kenn­wort, das nur bei Bedarf erzeugt wird. Aus diesem Grund gehen immer mehr Online-Dienste dazu über, die Zwei-Faktor-Au­then­ti­fi­zie­rung zu verwenden – ins­be­son­de­re, wenn es um sensible Daten geht.

Hinweis

Ver­wech­seln Sie die Abkürzung OPT für One-Time Password nicht mit dem One-Time-Pad, das ebenfalls mit OTP abgekürzt wird. Dahinter verbirgt sich ein anderes Ver­schlüs­se­lungs­ver­fah­ren, das zwar als sehr sicher gilt, aber deutlich auf­wen­di­ger um­zu­set­zen ist als ein One-Time-Password-Verfahren.

Wie funk­tio­niert ein OTP-Passwort?

Damit ein Log-in per One-Time Password funk­tio­niert, müssen der Nutzer und das System, in dem es verwendet wird, das Passwort kennen. Um dies zu ge­währ­leis­ten, gibt es zwei ver­schie­de­ne Methoden:

Pass­wort­lis­te

Eine Pass­wort­lis­te ist die ein­fachs­te Art, Ein­mal­kenn­wör­ter zu nutzen. Auf einer vor­ge­fer­tig­ten Liste befinden sich mehrere Kenn­wör­ter, die sowohl dem Nutzer als auch dem System bekannt sind. Wird eines dieser Ein­mal­pass­wör­ter benutzt, streicht der Nutzer es einfach aus der Liste.

Der Nachteil dieses Ver­fah­rens ist of­fen­sicht­lich: Verliert jemand solch eine Liste, könnten Unbefugte Zugriff auf die Pass­wör­ter erhalten. Auch wenn man solche Listen mit One-Time Passwords teilweise immer noch im Online-Banking verwendet, gehen immer mehr Anbieter aus dem zuvor genannten Grund zu dynamisch ge­ne­rier­ten OTP-Pass­wör­tern über.

Dynamisch ge­ne­rier­te Pass­wör­ter

Dynamisch erzeugte Ein­mal­kenn­wör­ter sind die heute am häu­figs­ten ver­wen­de­te Methode. Weit ver­brei­tet sind bei­spiels­wei­se Hardware-Kennwort-Ge­ne­ra­to­ren: Kleine Geräte in Form eines Schlüs­sel­an­hän­gers oder eines Kästchens, die bei Bedarf ein Passwort ge­ne­rie­ren.

Diese Geräte werden auch OTP-Token genannt: Allen gemein ist, dass sie meist über ein Display verfügen und One-Time Passwords für den je­wei­li­gen An­mel­de­pro­zess auf Knopf­druck erzeugen. Die so er­stell­ten Pass­wör­ter werden häufig zusammen mit anderen Au­then­ti­fi­zie­rungs­merk­ma­len ein­ge­ge­ben, etwa mit PINs oder User-IDs.

Um ein dy­na­mi­sches Ein­mal­pass­wort zu erzeugen, wird ein spe­zi­el­ler Al­go­rith­mus verwendet, der das jeweilige Passwort bei Bedarf generiert. Dabei gibt es drei Mög­lich­kei­ten:

  • Zeit­ge­steu­ert
  • Er­eig­nis­ge­steu­ert
  • Durch An­for­de­rung des Servers

Zeit­ge­steu­ert

Bei diesem Verfahren erstellen Passwort-Generator (Client) und Server zeitlich auf­ein­an­der ab­ge­stimm­te Pass­wör­ter mithilfe desselben Al­go­rith­mus. Ein solches Time-based One-Time Password (TOTP) ist dadurch auf Nutzer- und Server-Seite bekannt und für ein genau fest­ge­leg­tes Zeit­in­ter­vall gültig – meist umfasst dieses ein bis fünfzehn Minuten.

Er­eig­nis­ge­steu­ert

Er­eig­nis­ge­steu­er­te Ein­mal­pass­wör­ter werden durch Durch­füh­ren einer be­stimm­ten Aktion erstellt, bei­spiels­wei­se durch das Drücken einer Taste auf dem Token-Generator. Wie beim zeit­ge­steu­er­ten Verfahren arbeitet auf Server- und Nut­zer­sei­te derselbe Al­go­rith­mus. Das Passwort wird anhand des vorher gültigen Passworts berechnet und lässt sich so mit dem Server ab­glei­chen.

An­for­de­rung des Servers (Challenge-Response-gesteuert)

Bei diesem Verfahren gibt der Server eine An­for­de­rung (Challenge) vor, die der Client be­ant­wor­ten muss (Response). Der Client erhält einen be­stimm­ten Wert vom Server und berechnet damit das Ein­mal­pass­wort. Da der Server den Al­go­rith­mus und den vor­ge­ge­be­nen Wert kennt, kann er das erzeugte Passwort über­prü­fen.

Wann ist die Ver­wen­dung von One-Time Passwords sinnvoll?

Ein­mal­pass­wör­ter empfehlen sich bei allen Online-Diensten und Websites, bei denen es um besonders sensible und wichtige Daten geht. Dazu zählen bei­spiels­wei­se:

  • Online-Banking
  • Fi­nanz­dienst­leis­tun­gen wie Online-Ak­ti­en­de­pots oder Börsen für Kryp­to­wäh­run­gen
  • Sensible Un­ter­neh­mens­da­ten
  • Ver­trau­li­che Kom­mu­ni­ka­ti­ons­ka­nä­le

Ein Ein­mal­pass­wort ist nicht für jede Website er­for­der­lich. Sie sollten aber generell auf sichere Pass­wör­ter achten, auch wenn Sie ein Passwort mehrmals verwenden. Un­ter­su­chun­gen zufolge ist das Si­cher­heits­be­wusst­sein vieler Nutzer trotz stetig zu­neh­men­der Cy­ber­kri­mi­na­li­tät immer noch un­zu­rei­chend aus­ge­prägt.

Tipp

Abseits des OTP-Ver­fah­rens gibt es einige andere spannende Methoden für höhere Si­cher­heit, die in Zukunft noch mehr ins Blickfeld rücken könnten. Dazu zählt bei­spiels­wei­se der neue Standard WebAuthn, der das Einprägen von Pass­wör­tern völlig über­flüs­sig machen soll.

Vor- und Nachteile von One-Time Passwords im Überblick

Vorteile Nachteile
Nur schwer durch Replay-Attacken zu knacken Zu­sätz­li­che Tech­no­lo­gie nötig
Keine Gefahr, dass ein ent­wen­de­tes Passwort für mehrere Seiten bzw. Dienste benutzt werden kann Security-Tokens können ausfallen bzw. ka­putt­ge­hen
Mehr Si­cher­heit für den Nutzer Prozess der OTP-Passwort-Ge­ne­rie­rung teilweise um­ständ­lich
HiDrive Cloud-Speicher
Ihr sicherer Online-Speicher
  • Daten zentral speichern, teilen und be­ar­bei­ten
  • Ser­ver­stand­ort Deutsch­land (ISO 27001-zer­ti­fi­ziert)
  • Höchste Da­ten­si­cher­heit im Einklang mit der DSGVO
Zum Hauptmenü