Was ist ein zeitlich begrenztes Einmalpasswort? (TOTP)
- IAM-Glossar
- Was ist ein zeitlich begrenztes Einmalpasswort? (TOTP)
Ein zeitlich begrenztes Einmalpasswort (TOTP) ist eine Authentifizierungsmethode, bei der alle 30 bis 60 Sekunden mithilfe eines Algorithmus eindeutige Codes generiert werden. Als eine Möglichkeit für die Multi-Faktor-Authentifizierung (MFA) müssen Benutzer einen TOTP-Code eingeben, nachdem sie ihr Passwort ausgefüllt haben. So können sie ihre Identität bestätigen und auf ihr Konto zugreifen.
Funktionsweise von TOTPs
Zeitlich begrenzte Einmalpasswörter basieren auf einem geheimen Algorithmus, der Codes generiert. Dieser Algorithmus ist für jede Instanz einzigartig und macht sich die aktuelle Uhrzeit zunutze. Dadurch kann der Algorithmus alle 30 bis 60 Sekunden einen neuen, einzigartigen Code erzeugen.
Jedes Mal, wenn ein Benutzer die Erstellung eines neuen TOTPs für ein Konto anfordert, generieren die Kontoserver einen einzigartigen, geheimen Algorithmus, der normalerweise als QR-Code angezeigt wird. Der Server behält das Geheimnis und generiert daraus die TOTP-Codes.
Der Benutzer scannt den QR-Code mit einem Authentifizierungstool, z. B. einer speziellen Handy-App oder einer entsprechenden Funktion eines Passwortmanagers. Da das Authentifizierungstool jetzt über den geheimen Algorithmus verfügt, berechnet es genau dieselben sechsstelligen Codes wie der Server.
Sobald alles eingerichtet ist, läuft der Algorithmus gleichzeitig auf dem Server und dem Authentifizierungstool des Benutzers und erzeugt zu genau der gleichen Zeit genau dieselben sechsstelligen Codes.
Wenn sich ein Benutzer anmeldet, gibt er den aktuellen Code ein, der in seinem Authentifizierungstool angezeigt wird. Der Server vergleicht den von ihm berechneten Code mit dem Code des Benutzers. Stimmen die Codes überein, wird der Benutzer verifiziert und erhält Zugriff.
Verwendungsweise von TOTPs
Folgende Schritte sind für zeitlich begrenzte Einmalpasswörter nötig:
Wählen Sie Ihr Authentifizierungstool. Wir empfehlen einen Passwortmanager zum Generieren Ihrer TOTP-Codes, da er den Anmeldevorgang optimiert und Sie nicht mehrere Geräte für Ihre Konto-Anmeldung benötigen.
Fordern Sie einen geheimen Algorithmus von Ihrem Konto an. Melden Sie sich bei Ihrem Konto an und suchen Sie nach den Sicherheitseinstellungen. Wenn TOTP-Codes eine MFA-Option für Ihr Konto sind, wird Ihnen eine Einstellung zum Anfordern eines QR-Codes angezeigt.
Scannen Sie den QR-Code mit Ihrem Authentifizierungstool. Unabhängig von der gewählten App wird sie eine Möglichkeit bieten, den QR-Code zu scannen, höchstwahrscheinlich mithilfe Ihrer Handykamera oder einer Screenshot-Funktion.
Fertig! Wenn Sie sich das nächste Mal anmelden und der Server einen Code zur Authentifizierung anfordert, öffnen Sie Ihr Authentifizierungstool, um den Code zu finden. Geben Sie den Code unbedingt ein, bevor die Zeit abgelaufen ist und sich der Code geändert hat (normalerweise alle 30 bis 60 Sekunden).
Vorteile von TOTPs
Zeitlich begrenzte Einmalpasswörter sind eine der sichersten und bequemsten Formen der Multi-Faktor-Authentifizierung. MFA wird für alle Konten empfohlen und dient als zusätzliche Sicherheitsebene zu Ihrem Passwort. Sollte ein unbefugter Dritter Ihr Passwort herausfinden und sich bei Ihrem Konto anmelden wollen, für das MFA aktiviert ist, kann er ohne die zweite Authentifizierungsmethode keinen Zugriff erlangen.
Passwörter werden oft in Massen-Datepannen und anderen Cyberangriffen gehackt. Deshalb ist MFA so wichtig. Wenn Sie für Ihre Konten keine MFA verwenden, können sich Cyberkriminelle problemlos mit gestohlenen Zugangsdaten anmelden und auf Ihre vertraulichen Daten zugreifen.
Was TOTP zu einer der sichersten Formen von MFA macht, ist die unabhängige Berechnung der Codes von beiden Parteien. Aus diesem Grund müssen die Codes nicht zwischen den Parteien ausgetauscht werden. Der Code kann nicht abgefangen werden, solange der Algorithmus geheim bleibt. Die Tatsache, dass sich der Code so häufig ändert, bietet zusätzliche Sicherheit.
Im Vergleich zu einem herkömmlichen Bestätigungscode, der normalerweise per E-Mail oder SMS gesendet wird, ist TOTP viel sicherer. Dies liegt daran, dass E-Mails und SMS nicht verschlüsselt sind und von Cyberkriminellen leicht abgefangen werden können.
OTP vs. TOTP vs. HOTP
Der Unterschied zwischen OTP, TOTP und HOTP besteht in der Art des Faktors, der zur Berechnung des Codes verwendet wird.
Ein Einmalpasswort (OTP) ist ein Überbegriff für jede Art von Einmalcode, der zur Authentifizierung verwendet wird. Diese Verifizierungscodes können auf verschiedene Arten generiert werden, von denen einige sicherer sind als andere.
Zeitlich begrenzte Einmalpasswörter (TOTP) sind, wie wir bereits festgestellt haben, eine Art Einmalpasswörter, bei der die Zeit zur Berechnung des Codes herangezogen wird. Der Faktor ändert sich im Laufe der Zeit, sodass alle 30 bis 60 Sekunden ein neuer Code generiert wird. Da sich TOTP so häufig ändert, ist es die sicherste Art der Einmalpasswörter.
Ein hash-basiertes Einmalpasswort (HOTP) funktioniert ähnlich, außer dass ein anderen Faktor zur Berechnung des Codes verwendet – in diesem Fall ein hash-basierter Nachrichtenauthentifizierungscode (HMAC). Ein HMAC zählt, wie oft ein Code angefordert wird, und berechnet daraus den Code. Der Code ändert sich jedes Mal, wenn ein Code angefordert wird, d.h. nicht alle 30 bis 60 Sekunden.
Zeitlich begrenzte Einmalpasswörter sind eine praktische Lösung zur Sicherung Ihrer Konten. Mit dem Passwortmanager Keeper können Sie ganz einfach TOTP für all Ihre Konten einrichten und sichere Passwörter generieren. Mit KeeperFill ist der Anmeldevorgang kinderleicht. Keeper trägt Ihr Passwort und Ihre TOTP-Codes automatisch ein, sodass Ihre Konten ohne die Unannehmlichkeiten anderer MFA-Methoden geschützt sind.