One-Time Password (OTP) – Mehr Sicherheit im Netz

Traditionelle Kennwörter haben viele Schwachstellen. Das gilt sogar für sorgfältig ausgewählte und eigentlich sichere Passwörter. Das Hauptproblem: Wird ein Passwort regelmäßig verwendet, besteht die Gefahr, dass Unbefugte Zugriff auf das Passwort erhalten. Häufig geschieht dies durch sogenannte Replay-Attacken: Das Passwort wird abgefangen und anschließend von Unberechtigten zur erneuten Authentifizierung verwendet.

Daran muss nicht einmal die eigene Unachtsamkeit schuld sein: In den vergangenen Jahren gab es wiederholt Fälle, in denen selbst bekannte Online-Dienste Ziel von Hacker-Angriffen wurden und Tausende Kundendaten in die falschen Hände gelangten.

Wie kann man sich dagegen schützen? Eine Möglichkeit ist, das Passwort in regelmäßigen, möglichst kurzen Abständen zu ändern. Allerdings möchte man auch nicht jeden Tag seine Passwörter ändern. Eine andere Lösung, die sich weitaus einfacher realisieren lässt, ist das sogenannte One-Time Password (dt. Einmalpasswort).

Was ist ein One-Time Password?

Ein One-Time Password ist ein Passwort, das einmal verwendet werden kann und dann verfällt. Die deutsche Übersetzung des Begriffs lautet dementsprechend Einmalpasswort oder auch Einmalkennwort. Häufig liest man auch die Abkürzung OTP oder, davon abgeleitet, OTP-Code.

Das Einmalkennwort besteht in der Regel aus einem alphanummerischen OTP-Code (Buchstaben und Zahlen) und wird jeweils für einen Log-in-Vorgang generiert. Nachdem sich der Nutzer mit einem One-Time Password angemeldet hat, verliert dieses seine Gültigkeit und kann für den nächsten Anmeldevorgang nicht mehr verwendet werden.

Einmalpasswörter werden häufig im Rahmen einer Zwei-Faktor-Authentifizierung eingesetzt, etwa im Online-Banking, vermehrt aber auch in Unternehmen. Dabei werden zunächst die regulären Anmeldedaten eingegeben. Anschließend erzeugt der Nutzer ein dynamisches Einmalkennwort, beispielsweise mit einem Code-Generator, das ebenfalls für die Authentifizierung erforderlich ist.

Dieser zusätzliche Schritt sorgt für ein deutliches Mehr an Sicherheit: Wenn sich ein Unbefugter bei diesem Anmeldeverfahren Zugriff auf das reguläre Passwort verschafft, fehlt ihm immer noch das dynamische Einmalkennwort, das nur bei Bedarf erzeugt wird. Aus diesem Grund gehen immer mehr Online-Dienste dazu über, die Zwei-Faktor-Authentifizierung zu verwenden – insbesondere, wenn es um sensible Daten geht.

Hinweis

Verwechseln Sie die Abkürzung OPT für One-Time Password nicht mit dem One-Time-Pad, das ebenfalls mit OTP abgekürzt wird. Dahinter verbirgt sich ein anderes Verschlüsselungsverfahren, das zwar als sehr sicher gilt, aber deutlich aufwendiger umzusetzen ist als ein One-Time-Password-Verfahren.

Wie funktioniert ein OTP-Passwort?

Damit ein Log-in per One-Time Password funktioniert, müssen der Nutzer und das System, in dem es verwendet wird, das Passwort kennen. Um dies zu gewährleisten, gibt es zwei verschiedene Methoden:

Passwortliste

Eine Passwortliste ist die einfachste Art, Einmalkennwörter zu nutzen. Auf einer vorgefertigten Liste befinden sich mehrere Kennwörter, die sowohl dem Nutzer als auch dem System bekannt sind. Wird eines dieser Einmalpasswörter benutzt, streicht der Nutzer eseinfach aus der Liste.

Der Nachteil dieses Verfahrens ist offensichtlich: Verliert jemand solch eine Liste, könnten Unbefugte Zugriff auf die Passwörter erhalten. Auch wenn man solche Listen mit One-Time Passwords teilweise immer noch im Online-Banking verwendet, gehen immer mehr Anbieter aus dem zuvor genannten Grund zu dynamisch generierten OTP-Passwörtern über.

Dynamisch generierte Passwörter

Dynamisch erzeugte Einmalkennwörter sind die heute am häufigsten verwendete Methode. Weit verbreitet sind beispielsweise Hardware-Kennwort-Generatoren: Kleine Geräte in Form eines Schlüsselanhängers oder eines Kästchens, die bei Bedarf ein Passwort generieren.

Diese Geräte werden auch OTP-Token genannt: Allen gemein ist, dass sie meist über ein Display verfügen und One-Time Passwords für den jeweiligen Anmeldeprozess auf Knopfdruck erzeugen. Die so erstellten Passwörter werden häufig zusammen mit anderen Authentifizierungsmerkmalen eingegeben, etwa mit PINs oder User-IDs.

Um ein dynamisches Einmalpasswort zu erzeugen, wird ein spezieller Algorithmus verwendet, der das jeweilige Passwort bei Bedarf generiert. Dabei gibt es drei Möglichkeiten:

  • Zeitgesteuert
  • Ereignisgesteuert
  • Durch Anforderung des Servers

Zeitgesteuert

Bei diesem Verfahren erstellen Passwort-Generator (Client) und Server zeitlich aufeinander abgestimmte Passwörter mithilfe desselben Algorithmus. Ein solches Time-based One-Time Password (TOTP) ist dadurch auf Nutzer- und Server-Seite bekannt und für ein genau festgelegtes Zeitintervall gültig – meist umfasst dieses ein bis fünfzehn Minuten.

Ereignisgesteuert

Ereignisgesteuerte Einmalpasswörter werden durch Durchführen einer bestimmten Aktion erstellt, beispielsweise durch das Drücken einer Taste auf dem Token-Generator. Wie beim zeitgesteuerten Verfahren arbeitet auf Server- und Nutzerseite derselbe Algorithmus. Das Passwort wird anhand des vorher gültigen Passworts berechnet und lässt sich so mit dem Server abgleichen.

Anforderung des Servers (Challenge-Response-gesteuert)

Bei diesem Verfahren gibt der Server eine Anforderung (Challenge) vor, die der Client beantworten muss (Response). Der Client erhält einen bestimmten Wert vom Server und berechnet damit das Einmalpasswort. Da der Server den Algorithmus und den vorgegebenen Wert kennt, kann er das erzeugte Passwort überprüfen.

Wann ist die Verwendung von One-Time Passwords sinnvoll?

Einmalpasswörter empfehlen sich bei allen Online-Diensten und Websites, bei denen es um besonders sensible und wichtige Daten geht. Dazu zählen beispielsweise:

  • Online-Banking
  • Finanzdienstleistungen wie Online-Aktiendepots oder Börsen für Kryptowährungen
  • Sensible Unternehmensdaten
  • Vertrauliche Kommunikationskanäle

Ein Einmalpasswort ist nicht für jede Website erforderlich. Sie sollten aber generell auf sichere Passwörter achten, auch wenn Sie ein Passwort mehrmals verwenden. Untersuchungen zufolge ist das Sicherheitsbewusstsein vieler Nutzer trotz stetig zunehmender Cyberkriminalität immer noch unzureichend ausgeprägt.

Tipp

Abseits des OTP-Verfahrens gibt es einige andere spannende Methoden für höhere Sicherheit, die in Zukunft noch mehr ins Blickfeld rücken könnten. Dazu zählt beispielsweise der neue Standard WebAuthn, der das Einprägen von Passwörtern völlig überflüssig machen soll.

Vor- und Nachteile von One-Time Passwords im Überblick

Vorteile Nachteile
✔ Nur schwer durch Replay-Attacken zu knacken ✘ Zusätzliche Technologie nötig
✔ Keine Gefahr, dass ein entwendetes Passwort für mehrere Seiten bzw. Dienste benutzt werden kann ✘ Security-Tokens können ausfallen bzw. kaputtgehen
✔ Mehr Sicherheit für den Nutzer ✘ Prozess der OTP-Passwort-Generierung teilweise umständlich

Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und gratis Online-Marketing Whitepaper für lokale Anbieter sichern!