Was ist ein TOTP?

Kamile Viezelyte
Werbetexter für Cybersicherheit
what is totp

Multi-Faktor-Authentifizierung oder MFA hat sich zu einem integralen Bestandteil einer höheren digitalen Sicherheit für Millionen von Online-Nutzern entwickelt. Es gibt eine große Auswahl an MFA-Lösungen am Markt und die Internetnutzer können selbst entscheiden, welchen digitalen Schutz sie bevorzugen. Eine dieser Lösungen ist das OTP (One-Time Password) oder Einmalpasswort.

In diesem Artikel beschäftigen wir uns mit einem bestimmten OTP-Typ, nämlich dem TOTP (Time-based One-time Password Algorithmus), einem Verfahren zur Erzeugung von zeitlich limitierten Einmalpasswörtern. Wir erörtern, was diese Form der Multi-Faktor-Authentifizierung so besonders macht und welchen Gefahren diese ausgesetzt ist. Außerdem vergleichen wir dieses Verfahren mit einer alternativen Einmalpasswort-Methode – dem HOTP. Am Ende werden Sie über die Tools zur Stärkung der Online-Sicherheit umfassend informiert sein.

Was ist ein OTP?

Bevor wir auf die Besonderheiten und Funktionsweise von TOTP näher eingehen, muss zunächst eine grundlegende Frage beantwortet werden – was genau ist eigentlich ein OTP? Wie bereits erwähnt, steht diese Abkürzung für „Einmalpasswort“. Lassen Sie uns das genauer beleuchten.

Zwar ist die Technologie, die sich hinter OTPs verbirgt, komplex. Der Name erklärt sich aber von selbst – Einmalpasswörter sind Sicherheitscodes, die Sie nur einmal zur Authentifizierung verwenden können, bevor sie wieder zurückgesetzt werden. Im Vergleich zu den gewöhnlichen, statischen Passwörtern unseres täglichen Online-Lebens werden OTPs deshalb als dynamisch betrachtet.

Der dynamische OTP-Algorithmus ist der Grund, warum dieses Verfahren in Bezug auf Kontoschutz und Authentifizierung so verlässlich ist. Statische Passwörter sind einfacher zu knacken, vor allem dann, wenn sie nicht regelmäßig aktualisiert werden. Der zusätzliche Schutz, der durch den ständigen Wechsel der Einmalpasswörter entsteht, hat sich im Kampf gegen Identitätsdiebstähle als wirksam erwiesen.

Jedes OTP ist einzigartig und besteht aus eine Kombination von Zahlen und in manchen Fällen auch Buchstaben. Dies erlaubt eine schier unbegrenzte Zahl an Kombinationen, die auf dem Zufallsprinzip basieren, und bietet so zusätzlichen Schutz vor Cyberangriffen. Nichtsdestotrotz weist die Methode einige Schwachstellen aufweist, auf die wir noch eingehen werden.

Es gibt zwei Arten von OTPs:

  • Time-Based One-Time Passwords (TOTPs).

  • Hash-Based One-Time Passwords (HOTPs).

Für ihre Generierung benötigen diese Passwörter zwei Eingaben: den Seed und den Moving Factor. Ein Seed ist ein geheimer Schlüssel, der sich im Passwortgenerator und auf dem Server befindet. Ein Passwortgenerator, alternativ als OTP-Token bezeichnet, ist ein Tool, mit dem zeitlich limitierte Authentifizierungscodes erstellt werden können.

Sowohl TOTPs als auch HOTPs werden häufig für die Multi-Faktor-Authentifizierung verwendet. Welche Art von Einmalpasswort verwendet wird, hängt von der gewählten MFA-Methode ab. In der Regel wird das Einmalpasswort über eine Hardware zur Codeerzeugung, eine Authenticator-App oder eine Textnachricht erstellt.

Der Moving Factor ist das Unterscheidungsmerkmal zwischen TOTPs und HOTPs. Während der Seed ein statischer Wert ist, ändert sich der Moving Factor und wird entweder durch einen Countdown oder einen Zähler bestimmt – ein Thema, das wir später bei der Beschreibung der verschiedenen Einmalpasswort-Methoden näher beleuchten.

Manche Internetnutzer nehmen an, dass Einmalpasswörter ähnlich wie Backup-Codes funktionieren, die viele Apps als zusätzliche Sicherheitsmaßnahme anbieten. Sie funktionieren jedoch anders – Sie erhalten eine begrenzte Anzahl von Backup-Codes für den Fall, dass Sie den Zugriff auf Ihre Haupt-Authentifizierungsmethode verlieren, und Sie können diese einmal verwenden, um sich in Ihr Konto einzuloggen. Im Gegensatz dazu ist die Anzahl der generierbaren OTPs unbegrenzt.

Um die Funktionsweise von OTPs besser zu verstehen, sehen wir uns beide Arten genauer an.

Was ist ein TOTP?

Die grundlegenden Eigenschaften von Einmalpasswörtern haben wir bereits beschrieben, nun werden wir die TOTP-Methode im Detail erläutern. Die zweite Hälfte des Acronyms steht für „One-Time Password“, während sich das T auf seine wichtigste Eigenschaft – „Time-Based“ – bezieht.

Im Grunde handelt es sich bei Time-Based One-Time Passwords um Passwörter, die innerhalb einer vorgegebenen Zeit – dem sogenannten Timestep – ablaufen. Die verschiedenen TOTP-Authenticator-Apps verwenden verschiedene Timesteps. Generell lässt sich aber sagen, dass ein Code eine Gültigkeit aufweist, die irgendwo zwischen 15 Sekunden und einer Minute liegt. Es kann allerdings auch vorkommen, dass ein TOTP länger gültig ist, z. B. für mehrere Tage.

Wird der einzigartige Authentifizierungscode während dieses Zeitraums nicht eingegeben, wird das Passwort zurückgesetzt und ein neuer Code muss eingegeben werden. In Bezug auf die Cybersicherheit stellt der Zeitfaktor den größten Vorteil der TOTP-Methode dar. Die kurze Gültigkeitsdauer zufällig generierter Passwörter sorgt dafür, dass diese schwer zu knacken sind.

Die am häufigsten angewandten Verfahren, bei denen TOTPs zum Einsatz kommen, sind Authenticator-Apps. Aber auch Hardware-Lösungen wie Passwortgeneratoren können zum Erstellen von Authentifizierungscodes herangezogen werden.

Unabhängig davon, welche Software oder Hardware Sie für das Generieren von OTPs verwenden, bleibt das Ergebnis immer das gleiche. Jeder der MFA für ein Konto aktiviert hat, erhält bei einem Anmeldeversuch ein zeitlich begrenztes Passwort, mit dem die eigene Identität verifiziert wird. Sehen wir uns ein Beispiel aus der Praxis an.

Wie funktioniert ein TOTP?

Nehmen wir an, Sie nutzen für die Anmeldung bei Ihrem Instagram-Konto eine TOTP-Authenticator-App. Zunächst müssen Sie in der App die Zwei-Faktor-Authentifizierung aktiviert haben:

  1. Rufen Sie das Accounts Center von Instagram auf.

  2. Tippen Sie im Popup-Fenster auf „Passwort und Sicherheit“.

  3. Tippen Sie im Popup-Fenster auf „Zwei-Faktor-Authentifizierung“ und melden Sie sich bei Ihrem Konto an.

  4. Wählen Sie Ihre bevorzugte Methode für die Zwei-Faktor-Authentifizierung aus – für dieses Beispiel haben wir uns für eine Authenticator-App entschieden.

Die TOTP-Authentifizierung wird also mithilfe einer App wie z. B. Google Authenticator vollzogen. Wenn Sie mit einem QR-Code oder einem Schlüssel ein Konto zu dieser App hinzufügen, können Sie auswählen, ob die Codes zeit- oder zählerbasiert sein sollen. Wählen Sie in diesem Fall die Option „zeitbasiert“ aus.

So melden Sie sich bei Ihrem Instagram-Konto mithilfe eines Time-Based One-Time Password an:

  1. Öffnen Sie Ihre Instagram-App.

  2. Wählen Sie „Anmelden“

  3. Geben Sie Ihren Benutzernamen oder Ihre E-Mail-Adresse und Ihr Passwort ein. Wenn Sie Ihr Passwort vergessen haben, dann können Sie es mit dieser Anleitung hier wiederherstellen.

  4. Sie werden aufgefordert, Ihren Sicherheitsschlüssel einzugeben. Öffnen Sie die Authenticator-App von Google und kopieren Sie den sechsstelligen TOTP-Code.

  5. Fügen Sie den Code in die Instagram-Eingabeaufforderung ein.

Denken Sie daran, dass das Passwort alle 15 Sekunden zurückgesetzt wird. Wenn die Zeit nicht ausreicht, kopieren Sie einfach den neu erstellten Code und fügen Sie diesen ein.

Andere Apps funktionieren nach dem gleichen Prinzip. In manchen Fällen können Sie wählen, ob Sie eine Textnachricht mit einem zeitlich begrenzten Code erhalten möchten oder lieber ein Gerät für die Codegenerierung verwenden. Dies ist hilfreich, wenn Sie Probleme mit der Netzwerkverbindung und in der Folge keinen Zugriff auf die Authenticator-App haben.

Was ist ein HOTP?

Neben den TOTPs existiert eine weitere beliebte Form des Einmalpassworts: HOTP. Diese Einmalpasswort-Methode ist Ihnen vermutlich ein Begriff, weil sie bereits seit knapp zwei Jahrzehnten verfügbar ist.

Hier treffen wir auf zwei Akronyme, die es zu erklären gilt. Das erste ist HOTP selbst: Es steht für „HMAC-Based One-Time Password“ (HMAC-basiertes Einmalpasswort). HMAC bedeutet „Hash-Based Message Authentication Code“ (dt. Hash-Nachrichtenauthentifizierungscode). Damit Sie es sich leichter merken können, sprechen wir bei diesem Passworttyp normalerweise von hashenbasierten Einmalpasswörtern oder halten uns, noch einfacher, an die ursprüngliche Abkürzung.

Alternativ wird HOTP auch ereignis- oder zählerbasierte Authentifizierung genannt. Das besagte Ereignis ist in diesem Fall der Verifizierungsversuch. Anders als bei TOTPs, die nach einem bestimmten Timestep zurückgesetzt werden, werden HOTPs jedes mal aktualisiert, wenn sich der Nutzer bei seinem Konto anmeldet. Wenn Sie sich also anmelden, wird der Zählerwert erhöht, um sicherzustellen, dass ein Passwort verwendet wurde und ein neuer Code erstellt wird.

HOTP-Token können außerdem manuell aktualisiert werden. Wenn Sie etwa einen zählerbasierten Code in Ihrer Google Authenticator App verwenden, müssen Sie für den Erhalt eines neuen Codes bloß auf die Schaltfläche „Aktualisieren“ tippen. Diese Funktion ist im Fall eines Cyberangriffs sehr wertvoll: Sollten Cyberkriminelle ein HOTP in die Hände bekommen, kann Sie den Code aktualisieren und somit den kompromittierten Code ungültig machen.

Aus Gründen der Sicherheit haben TOTPs den HOTPs in den letzten Jahren den Rang abgelaufen. Obgleich beide Verfahren für die MFA genutzt werden, haben sich manche Einrichtungen – zum Nachteil der HOTPs – für die Implementierung von TOTPs entschlossen. Sehen wir uns die Gründe für diese Entwicklung und die allgemeinen Unterschiede zwischen den zwei OTP-Verfahren an.

HOTP vs. TOTP: Unterschiede und Vorteile

Als Schutzmaßnahmen sind sowohl HOTP als auch TOTP zuverlässige Optionen. Je nach Nutzer können jedoch unterschiedliche Gründe dafür ausschlaggebend sein, ob das eine oder das andere bevorzugt wird, sei es aufgrund technischer Innovationen oder persönlicher Vorlieben.

HOTPs wurde das erste Mal im Jahr 2005 entwickelt, TOTPs folgten etwas später im Jahr 2008. Chronologisch gesehen ist das TOTP-Verfahren die aktuellste Entwicklung im Bereich OTP. Trotzdem ist auch die HOTP-Methode immer noch im Einsatz.

Generell lässt sich sagen, dass die TOTP-Methode aufgrund des Zeitfaktors mehr Sicherheit bietet als HOTPs. Schließlich ist es schwieriger, einen ständig wechselnden Sicherheitscode zu kompromittieren, als ein HOTP, das zwischen den Anmeldeversuchen manchmal für Wochen oder sogar Monate nicht verwendet wird. Das sollten Sie im Hinterkopf behalten, wenn Sie sich vor einer möglichen Datenpanne schützen wollen.

Die Überprüfung von Anmeldeinformationen ist oft eine zeitkritische Angelegenheit. TOTPs haben ihre Tücken, wenn Sie ein Gerät mit Verzögerung oder Verbindungsprobleme haben. Falls die App, bei der Sie sich anmelden, abstürzt oder Ihre Internet- bzw. Breitbandverbindung plötzlich unterbrochen wird, müssen Sie sich mit der Codeeingabe beeilen oder warten, bis der Code zurückgesetzt wird. Dies kann insbesondere bei Apps, die nur mit sehr kurzen Timesteps funktionieren, frustrierend sein.

Barrierefreiheit ist ein weiteres Problem, das gerne übersehen wird. Die Geschwindigkeit, mit der ein neues TOTP generiert wird, ist vorgegeben und kann von den Internetnutzern in der Regel nicht geändert werden. Für Menschen, die Probleme mit der Feinmotorik haben oder unter kognitiven Störungen leiden, stellen zeitlich limitierte Passwörter daher eine Herausforderung dar. HOTPs sind für diese Menschen möglicherweise besser geeignet, da der Nutzer vor dem Zurücksetzen mehr Zeit für die Codeeingabe hat.

Allerdings können auch HOTPs Probleme mit der Gültigkeit haben. Wird z. B. die Authenticator-App ständig aktualisiert, kann es passieren, dass der Zähler einen ungültigen Code ausgibt, was dazu führen kann, dass der Zugriff auf das fragliche Konto vorübergehend gesperrt wird.

Im Folgenden finden Sie eine Übersicht zu den Unterschieden zwischen HOTP und TOTP:

HOTPTOTP
Wird nach jedem Gebrauch zurückgesetzt (zählerbasiert)Wird auf Basis eines Timestep zurückgesetzt (zeitbasiert)
Anfälliger für CyberangriffeWiederstandsfähiger gegen Cyberangriffe
BarrierefreiheitWeniger benutzerfreundlich

Obgleich die zwei Einmalpasswort-Typen nicht viele Unterschiede aufweisen, sind diese dennoch bedeutsam. Wie bereits erörtert, ist die TOTP-Methode zwar in vielerlei Hinsicht die optimierte Version der Einmalpasswörter, sie muss aber dennoch nicht für alle die beste Lösung darstellen. Persönliche Bedürfnisse können ein Grund sein, warum manche Menschen HOTPs bevorzugen.

Was sind OTP-Bots und wie kann man sie umgehen?

Ähnlich wie andere Sicherheitsvorkehrungen sind auch Einmalpasswörter nicht vor Kriminellen gefeit. Wegen dem Zeitfaktor und der schier unbegrenzten Zahl an möglichen Zeichenkombinationen benötigen Cyberkriminelle aber spezielle Tools, um OTP-Algorithmen zu umgehen. Aus diesem Grund wurden OTP-Bots entwickelt.

OTP-Bots sind automatisierte Programme, die Hacker nutzen, um Einmalpasswörter zu extrahieren und den Schutzmechanismus der Multi-Faktor-Authentifizierung zu durchbrechen. Häufig verwenden Hacker OTP-Bots gemeinsam mit Social-Engineering-Strategien, um sich menschliche Schwächen zunutze zu machen.

Hacker können etwa eine Phishing-Website kreieren, um ihr Opfer zur Preisgabe von Anmeldeinformationen zu verleiten. Diese Daten werden dann an einen OTP-Bot weitergeleitet, der Kontakt zum Opfer aufnimmt und dieses überzeugt, sein Einmalpasswort offenzulegen. Im Anschluss kann der Hacker dieses Passwort nutzen, um sich beim Konto des Opfers anzumelden und Schäden zu verursachen.

OTP-Bots haben tendenziell mehr Erfolg bei Internetnutzern, die Textnachrichten für die Bereitstellung des einmaligen Codes verwenden. In den letzten Jahren haben sich mehrere Organisationen auf der ganzen Welt gegen die Verwendung der SMS-basierten Multi-Faktor-Authentifizierung entschieden. Zum Beispiel hat das US-amerikanische National Institute of Standards and Technology (NIST) bereits 2016 die Abschaffung der SMS-Authentifizierung empfohlen.

Die HOTP-Methode ist im Vergleich zum TOTP-Verfahren anfälliger für Cyberangriffe. Wird ein Opfer dazu verleitet, seinen Wiederherstellungscode preiszugeben, ohne dass es den Code selbst verwendet, können die Hacker das Konto vollständig übernehmen. Der Zeitfaktor als wesentliches Element des sicheren TOTP-Verfahrens erschwert den Hackern das kriminelle Handwerk. Zudem ist es unwahrscheinlich, dass ein abgelaufenes TOTP aufgrund der enormen Anzahl alphanumerischer Kombinationen in Zukunft wieder verfügbar sein wird.

Da OTP-Bots üblicherweise für Phishing-Angriffe verwendet werden, ist es ratsam Präventionsmaßnahmen gegen Social-Engineering zu ergreifen. Beispielsweise sollten Sie nicht auf verdächtige Links klicken oder Ihre Anmeldeinformationen an Unbekannte weitergeben. Außerdem sollten Sie ein sicheres Gerät für die Bereitstellung des OTP-Codes wählen. Wenn Sie hierfür eine Software verwenden und das Gerät verloren geht, können Sie die App sperren und löschen lassen.

Machen TOTPs statische Passwörter überflüssig?

Sie fragen sich vielleicht, ob gewöhnliche Passwörter angesichts der Verfügbarkeit robuster und sicherer TOTP-Codes noch benötigt werden? Natürlich!

Einmalige Passwörter sind zwar wirksam, aber dennoch kompromittierbar – sie werden eher als ergänzende Sicherheitsmaßnahme betrachtet. Es ist außerordentlich wichtig, dass Ihre erste Verteidigungslinie – das Kontopasswort – absolut sicher ist.

NordPass Business kann Ihnen beim Schutz Ihrer Konten helfen und Sie vor Cyberkriminalität bewahren. Der verschlüsselte Webtresor dient als Komplettlösung zur Aufbewahrung Ihrer sensiblen Daten wie Passwörter, Bankinformationen und mehr. Für noch mehr Sicherheit können Sie auch Multi-Faktor-Authentifizierung nutzen. Die MFA von NordPass unterstützt Backup-Codes, Sicherheitsschlüssel und Authenticator-Apps wie Google Authenticator und Authy.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.