Was ist ein Einmalpasswort (OTP)?

Ein Einmalpasswort bzw. One-Time-Password (OTP) dient der Authentifizierung eines Nutzers für eine einzelne Sitzung oder Aktion. Die Verwendung von Einmalpasswörtern trägt zur Login-Sicherheit bei, da diese die Anmeldung des Users um eine weitere Sicherheitsstufe ergänzen und OTPs aufgrund ihres zeitlich begrenzten Nutzens schwerer zu stehlen sind als statische Zugangsdaten wie Benutzername und Passwort.

Die meisten Einmalpasswörter sind nur für einen begrenzten Zeitraum gültig, beispielsweise E-Mail-PINs, die innerhalb von 15 Minuten ablaufen, oder Authenticator Apps, die alle 60 Sekunden einen neuen sechsstelligen Code generieren. Ein Beispiel für ein Einmalpasswort ohne zeitliches Limit sind Recovery Codes, die beim Erstellen eines neuen Kontos angelegt werden und zum Zurücksetzen der Zugangsdaten verwendet werden können.

Einmalpasswörter werden zur Bestätigung der Identität im Rahmen der Authentifizierung und Autorisierung eines Benutzers verwendet. Der User gibt dazu einen Code ein, der nicht aus der Anmeldemaske ersichtlich ist, sondern über einen anderen Kanal abgerufen wird. Mögliche Varianten für die Zustellung eines Einmalpassworts sind:

Weil Versand von OTPs theoretisch angreifbar ist (Inhalt der Nachricht wird durch Sniffing ausgespäht, das Ziel durch SIM-Spoofing nachgestellt), werden OTPs heute meist per Smartphone App generiert. App und Server errechnen dabei unabhängig voneinander einen bestimmten Zahlenwert auf Basis eines gemeinsamen Schlüssels, der zu Beginn durch das Einscannen des QR Code festgelegt wurde. Stimmt die Eingabe des Benutzers mit dem erwarteten Wert überein, wird die Anmeldung bestätigt.

Auf technischer Ebene gibt es zwei Optionen für die Generierung von Einmalpasswörtern, die beide auf dem HMAC Verfahren für kryptographische Verschlüsselung aufbauen: für zeitbasierte Einmalpasswörter (time-based one-time password bzw. TOTP) errechnet die App den Zufallswert auf Basis des initialen Schlüssels sowie der aktuellen Uhrzeit. Um zu verhindern, dass zur selben Tageszeit täglich derselbe Code ausgegeben wird, nutzt diese Methode die fortlaufende Unixzeitrechnung.

HMAC-basierte Einmalpasswörter (HOTP) funktionieren nach dem gleichen Prinzip, allerdings erfolgt die Zufallsgenerierung hier anhand des Keys sowie eines fortlaufenden Zählers. Um sicherzustellen, dass Server und Endgerät den Wert im gleichen Tempo erhöhen, ist dabei eine Rücksynchronisierung erforderlich.

Der wesentliche Vorteil von Einmalpasswörtern liegt in ihrer Sicherheit. Die Anmeldung eines Benutzers durch 2FA/MFA um eine weitere Stufe zu ergänzen, senkt das Risiko für Account-Diebstahl erheblich. Die Nutzung von Einmalpasswörtern anstatt anderer Kontrollen wie Sicherheitsfragen hat dabei den Vorteil, dass sich die zufällige Zeichenfolge nicht aus persönlichen Daten ableiten lässt. OTPs bieten also ein konstantes Sicherheitsniveau, anders als z.B. häufige Passwörter wie 123456.

Vorteile von One-Time-Passwörtern:

Da Einmalpasswörter Anmeldeverfahren nicht nur sicherer, sondern auch umständlicher machen, betrachten manche Nutzer den zusätzlichen Aufwand als Nachteil. Insbesondere Personen mit wenig technischer Erfahrung benötigen oft Unterstützung bei der Einrichtung und ersten Nutzung des Sicherheitsverfahrens. Das Vorraussetzen eines Einmalpassworts kann ebenso dazu führen, dass berechtigte Nutzer scheitern wenn sie auf eine Ressource zugreifen, da sie z.B. ihr Handy nicht bei sich haben.

Nachteile von One-Time-Passwörtern:

Auch wenn Einmalpasswörter die Sicherheit bei Anmeldungen erheblich verbessern, hat auch dieses Verfahren seine Schwachstellen. Theoretisch gibt es zwei Möglichkeiten, die von Angreifern genutzt werden können: Zum einen können Hacker die mehrstufige Anmeldung umgehen, indem sie eine aktive Session übernehmen. Das ist zum Beispiel durch den Diebstahl von Session-Cookies möglich. Zur Abhilfe gegen Session-Hijacking sollten Dienste die Überprüfung der Identität wiederholen, und zwar in regelmäßigen Abständen sowie vor der Änderung wichtiger Einstellungen (z.B. neues Passwort festlegen).

Andererseits können Angreifer versuchen, Benutzer dazu zu bringen, das Einmalpasswort an ihrer Stelle einzugeben. Bei einem Man-in-the-Middle-Angriff wird der User mittels Phishing auf eine gefälschte Anmeldeseite geleitet. Dort gibt der Eigentümer des Kontos seine Zugangdaten samt Einmalpasswort ein und Hacker können diese in Echtzeit abfangen und weiterleiten, um sie für ihre Anmeldung zu nutzen. Der zeitlich enge Rahmen macht dies zwar herausfordernd, aber nicht unmöglich.

Der Hinweis auf diese Schwachstellen soll Organisationen nicht von der Nutzung von Einmalpasswörtern abbringen. Die Vorteile überwiegen klar. Aber es ist wichtig zu betonen, dass technische Sicherheitsmaßnahmen keinen hundertprozentigen Schutz bieten. Entsprechend gibt es keinen Ersatz für die Aufklärung von Usern über den richtigen Umgang mit digitalen Gefahren, ebenso wenig wie für die Einhaltung von Best Practices der IT Security wie die Umsetzung des Least Privilege Prinzips.