Was ist ein Einmalpasswort (OTP)?

Mit einem Einmalpasswort, Einmalkennwort oder One-Time-Password (OTP) können Benutzer ihre Identität für eine einzelne Anmeldung bzw. Transaktion bestätigen. Zeitlich begrenzte One-Time-Passwords werden unter anderem für mehrstufige Anmeldeverfahren im Rahmen der Multi-Faktor-Authentifizierung genutzt.

Was ist ein Einmalpasswort?

Ein Einmalpasswort bzw. One-Time-Password (OTP) dient der Authentifizierung eines Nutzers für eine einzelne Sitzung oder Aktion. Die Verwendung von Einmalpasswörtern trägt zur Login-Sicherheit bei, da diese die Anmeldung des Users um eine weitere Sicherheitsstufe ergänzen und OTPs aufgrund ihres zeitlich begrenzten Nutzens schwerer zu stehlen sind als statische Zugangsdaten wie Benutzername und Passwort.

Die meisten Einmalpasswörter sind nur für einen begrenzten Zeitraum gültig, beispielsweise E-Mail-PINs, die innerhalb von 15 Minuten ablaufen, oder Authenticator Apps, die alle 60 Sekunden einen neuen sechsstelligen Code generieren. Ein Beispiel für ein Einmalpasswort ohne zeitliches Limit sind Recovery Codes, die beim Erstellen eines neuen Kontos angelegt werden und zum Zurücksetzen der Zugangsdaten verwendet werden können.

tenfold verwendet Einmalpasswörter in Form sogenannter One-Time-Secrets für den initialen Versand von Zugangsdaten.

Wie funktionieren Einmalpasswörter?

Einmalpasswörter werden zur Bestätigung der Identität im Rahmen der Authentifizierung und Autorisierung eines Benutzers verwendet. Der User gibt dazu einen Code ein, der nicht aus der Anmeldemaske ersichtlich ist, sondern über einen anderen Kanal abgerufen wird. Mögliche Varianten für die Zustellung eines Einmalpassworts sind:

  • SMS-Token, die per Textnachricht versendet werden

  • PIN-Codes aus einer E-Mail-Nachricht

  • Verifizierungscodes aus einer Authenticator App

Weil Versand von OTPs theoretisch angreifbar ist (Inhalt der Nachricht wird durch Sniffing ausgespäht, das Ziel durch SIM-Spoofing nachgestellt), werden OTPs heute meist per Smartphone App generiert. App und Server errechnen dabei unabhängig voneinander einen bestimmten Zahlenwert auf Basis eines gemeinsamen Schlüssels, der zu Beginn durch das Einscannen des QR Code festgelegt wurde. Stimmt die Eingabe des Benutzers mit dem erwarteten Wert überein, wird die Anmeldung bestätigt.

Arten von Einmalpasswörtern

Auf technischer Ebene gibt es zwei Optionen für die Generierung von Einmalpasswörtern, die beide auf dem HMAC Verfahren für kryptographische Verschlüsselung aufbauen: für zeitbasierte Einmalpasswörter (time-based one-time password bzw. TOTP) errechnet die App den Zufallswert auf Basis des initialen Schlüssels sowie der aktuellen Uhrzeit. Um zu verhindern, dass zur selben Tageszeit täglich derselbe Code ausgegeben wird, nutzt diese Methode die fortlaufende Unixzeitrechnung.

HMAC-basierte Einmalpasswörter (HOTP) funktionieren nach dem gleichen Prinzip, allerdings erfolgt die Zufallsgenerierung hier anhand des Keys sowie eines fortlaufenden Zählers. Um sicherzustellen, dass Server und Endgerät den Wert im gleichen Tempo erhöhen, ist dabei eine Rücksynchronisierung erforderlich.

Vorteile von Einmalpasswörtern

Der wesentliche Vorteil von Einmalpasswörtern liegt in ihrer Sicherheit. Die Anmeldung eines Benutzers durch 2FA/MFA um eine weitere Stufe zu ergänzen, senkt das Risiko für Account-Diebstahl erheblich. Die Nutzung von Einmalpasswörtern anstatt anderer Kontrollen wie Sicherheitsfragen hat dabei den Vorteil, dass sich die zufällige Zeichenfolge nicht aus persönlichen Daten ableiten lässt. OTPs bieten also ein konstantes Sicherheitsniveau, anders als z.B. häufige Passwörter wie 123456.

Vorteile von One-Time-Passwörtern:

  • Zusätzliche Kontrolle für sichere Anmeldung

  • Begrenzte Gültigkeit erschwert Diebstahl

  • Einheitliches Sicherheitsniveau dank Zufallsgenerierung

Nachteile von Einmalpasswörtern

Da Einmalpasswörter Anmeldeverfahren nicht nur sicherer, sondern auch umständlicher machen, betrachten manche Nutzer den zusätzlichen Aufwand als Nachteil. Insbesondere Personen mit wenig technischer Erfahrung benötigen oft Unterstützung bei der Einrichtung und ersten Nutzung des Sicherheitsverfahrens. Das Vorraussetzen eines Einmalpassworts kann ebenso dazu führen, dass berechtigte Nutzer scheitern wenn sie auf eine Ressource zugreifen, da sie z.B. ihr Handy nicht bei sich haben.

Nachteile von One-Time-Passwörtern:

  • Eingabe wird von Usern teils als störend und umständlich betrachtet

  • Einrichten und Wiederherstellen des Zugangs erfordert mehr Tech-Support

  • Probleme bei Verlust oder Diebstahl von Smartphone bzw. physischen Token

Kann ein Einmalpasswort gehackt werden?

Auch wenn Einmalpasswörter die Sicherheit bei Anmeldungen erheblich verbessern, hat auch dieses Verfahren seine Schwachstellen. Theoretisch gibt es zwei Möglichkeiten, die von Angreifern genutzt werden können: Zum einen können Hacker die mehrstufige Anmeldung umgehen, indem sie eine aktive Session übernehmen. Das ist zum Beispiel durch den Diebstahl von Session-Cookies möglich. Zur Abhilfe gegen Session-Hijacking sollten Dienste die Überprüfung der Identität wiederholen, und zwar in regelmäßigen Abständen sowie vor der Änderung wichtiger Einstellungen (z.B. neues Passwort festlegen).

Andererseits können Angreifer versuchen, Benutzer dazu zu bringen, das Einmalpasswort an ihrer Stelle einzugeben. Bei einem Man-in-the-Middle-Angriff wird der User mittels Phishing auf eine gefälschte Anmeldeseite geleitet. Dort gibt der Eigentümer des Kontos seine Zugangdaten samt Einmalpasswort ein und Hacker können diese in Echtzeit abfangen und weiterleiten, um sie für ihre Anmeldung zu nutzen. Der zeitlich enge Rahmen macht dies zwar herausfordernd, aber nicht unmöglich.

Der Hinweis auf diese Schwachstellen soll Organisationen nicht von der Nutzung von Einmalpasswörtern abbringen. Die Vorteile überwiegen klar. Aber es ist wichtig zu betonen, dass technische Sicherheitsmaßnahmen keinen hundertprozentigen Schutz bieten. Entsprechend gibt es keinen Ersatz für die Aufklärung von Usern über den richtigen Umgang mit digitalen Gefahren, ebenso wenig wie für die Einhaltung von Best Practices der IT Security wie die Umsetzung des Least Privilege Prinzips.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.