Traditionelle Kennwörter haben viele Schwachstellen. Das gilt sogar für sorgfältig ausgewählte und eigentlich sichere Passwörter. Das Hauptproblem: Wird ein Passwort regelmäßig verwendet, besteht die Gefahr, dass Unbefugte Zugriff auf das Passwort erhalten. Häufig geschieht dies durch sogenannte Replay-Attacken: Das Passwort wird abgefangen und anschließend von Unberechtigten zur erneuten Authentifizierung verwendet.
Daran muss nicht einmal die eigene Unachtsamkeit schuld sein: In den vergangenen Jahren gab es wiederholt Fälle, in denen selbst bekannte Online-Dienste Ziel von Hacker-Angriffen wurden und Tausende Kundendaten in die falschen Hände gelangten.
Wie kann man sich dagegen schützen? Eine Möglichkeit ist, das Passwort in regelmäßigen, möglichst kurzen Abständen zu ändern. Allerdings möchte man auch nicht jeden Tag seine Passwörter ändern. Eine andere Lösung, die sich weitaus einfacher realisieren lässt, ist das sogenannte One-Time Password (dt. Einmalpasswort).
Inhaltsverzeichnis
- Was ist ein One-Time Password?
- Wie funktioniert ein OTP-Passwort?
- Passwortliste
- Dynamisch generierte Passwörter
- Zeitgesteuert
- Ereignisgesteuert
- Anforderung des Servers (Challenge-Response-gesteuert)
- Wann ist die Verwendung von One-Time Passwords sinnvoll?
- Vor- und Nachteile von One-Time Passwords im Überblick
SSL-Zertifikate von IONOS!
Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.
Geprüfte Sicherheit
Bis zu 256-bit Verschlüsselung
Einfache Aktivierung
Was ist ein One-Time Password?
Ein One-Time Password ist ein Passwort, das einmal verwendet werden kann und dann verfällt. Die deutsche Übersetzung des Begriffs lautet dementsprechend Einmalpasswort oder auch Einmalkennwort. Häufig liest man auch die Abkürzung OTP oder, davon abgeleitet, OTP-Code.
Das Einmalkennwort besteht in der Regel aus einem alphanummerischen OTP-Code (Buchstaben und Zahlen) und wird jeweils für einen Log-in-Vorgang generiert. Nachdem sich der Nutzer mit einem One-Time Password angemeldet hat, verliert dieses seine Gültigkeit und kann für den nächsten Anmeldevorgang nicht mehr verwendet werden.
Einmalpasswörter werden häufig im Rahmen einer Zwei-Faktor-Authentifizierung eingesetzt, etwa im Online-Banking, vermehrt aber auch in Unternehmen. Dabei werden zunächst die regulären Anmeldedaten eingegeben. Anschließend erzeugt der Nutzer ein dynamisches Einmalkennwort, beispielsweise mit einem Code-Generator, das ebenfalls für die Authentifizierung erforderlich ist.
Dieser zusätzliche Schritt sorgt für ein deutliches Mehr an Sicherheit: Wenn sich ein Unbefugter bei diesem Anmeldeverfahren Zugriff auf das reguläre Passwort verschafft, fehlt ihm immer noch das dynamische Einmalkennwort, das nur bei Bedarf erzeugt wird. Aus diesem Grund gehen immer mehr Online-Dienste dazu über, die Zwei-Faktor-Authentifizierung zu verwenden – insbesondere, wenn es um sensible Daten geht.
Hinweis
Verwechseln Sie die Abkürzung OPT für One-Time Password nicht mit dem One-Time-Pad, das ebenfalls mit OTP abgekürzt wird. Dahinter verbirgt sich ein anderes Verschlüsselungsverfahren, das zwar als sehr sicher gilt, aber deutlich aufwendiger umzusetzen ist als ein One-Time-Password-Verfahren.
Wie funktioniert ein OTP-Passwort?
Damit ein Log-in per One-Time Password funktioniert, müssen der Nutzer und das System, in dem es verwendet wird, das Passwort kennen. Um dies zu gewährleisten, gibt es zwei verschiedene Methoden:
Passwortliste
Eine Passwortliste ist die einfachste Art, Einmalkennwörter zu nutzen. Auf einer vorgefertigten Liste befinden sich mehrere Kennwörter, die sowohl dem Nutzer als auch dem System bekannt sind. Wird eines dieser Einmalpasswörter benutzt, streicht der Nutzer es einfach aus der Liste.
Der Nachteil dieses Verfahrens ist offensichtlich: Verliert jemand solch eine Liste, könnten Unbefugte Zugriff auf die Passwörter erhalten. Auch wenn man solche Listen mit One-Time Passwords teilweise immer noch im Online-Banking verwendet, gehen immer mehr Anbieter aus dem zuvor genannten Grund zu dynamisch generierten OTP-Passwörtern über.
Dynamisch generierte Passwörter
Dynamisch erzeugte Einmalkennwörter sind die heute am häufigsten verwendete Methode. Weit verbreitet sind beispielsweise Hardware-Kennwort-Generatoren: Kleine Geräte in Form eines Schlüsselanhängers oder eines Kästchens, die bei Bedarf ein Passwort generieren.
Diese Geräte werden auch OTP-Token genannt: Allen gemein ist, dass sie meist über ein Display verfügen und One-Time Passwords für den jeweiligen Anmeldeprozess auf Knopfdruck erzeugen. Die so erstellten Passwörter werden häufig zusammen mit anderen Authentifizierungsmerkmalen eingegeben, etwa mit PINs oder User-IDs.
Um ein dynamisches Einmalpasswort zu erzeugen, wird ein spezieller Algorithmus verwendet, der das jeweilige Passwort bei Bedarf generiert. Dabei gibt es drei Möglichkeiten:
- Zeitgesteuert
- Ereignisgesteuert
- Durch Anforderung des Servers
Zeitgesteuert
Bei diesem Verfahren erstellen Passwort-Generator (Client) und Server zeitlich aufeinander abgestimmte Passwörter mithilfe desselben Algorithmus. Ein solches Time-based One-Time Password (TOTP) ist dadurch auf Nutzer- und Server-Seite bekannt und für ein genau festgelegtes Zeitintervall gültig – meist umfasst dieses ein bis fünfzehn Minuten.
Ereignisgesteuert
Ereignisgesteuerte Einmalpasswörter werden durch Durchführen einer bestimmten Aktion erstellt, beispielsweise durch das Drücken einer Taste auf dem Token-Generator. Wie beim zeitgesteuerten Verfahren arbeitet auf Server- und Nutzerseite derselbe Algorithmus. Das Passwort wird anhand des vorher gültigen Passworts berechnet und lässt sich so mit dem Server abgleichen.
Anforderung des Servers (Challenge-Response-gesteuert)
Bei diesem Verfahren gibt der Server eine Anforderung (Challenge) vor, die der Client beantworten muss (Response). Der Client erhält einen bestimmten Wert vom Server und berechnet damit das Einmalpasswort. Da der Server den Algorithmus und den vorgegebenen Wert kennt, kann er das erzeugte Passwort überprüfen.
Wann ist die Verwendung von One-Time Passwords sinnvoll?
Einmalpasswörter empfehlen sich bei allen Online-Diensten und Websites, bei denen es um besonders sensible und wichtige Daten geht. Dazu zählen beispielsweise:
- Online-Banking
- Finanzdienstleistungen wie Online-Aktiendepots oder Börsen für Kryptowährungen
- Sensible Unternehmensdaten
- Vertrauliche Kommunikationskanäle
Ein Einmalpasswort ist nicht für jede Website erforderlich. Sie sollten aber generell auf sichere Passwörter achten, auch wenn Sie ein Passwort mehrmals verwenden. Untersuchungen zufolge ist das Sicherheitsbewusstsein vieler Nutzer trotz stetig zunehmender Cyberkriminalität immer noch unzureichend ausgeprägt.
Tipp
Abseits des OTP-Verfahrens gibt es einige andere spannende Methoden für höhere Sicherheit, die in Zukunft noch mehr ins Blickfeld rücken könnten. Dazu zählt beispielsweise der neue Standard WebAuthn, der das Einprägen von Passwörtern völlig überflüssig machen soll.
Vor- und Nachteile von One-Time Passwords im Überblick
| Vorteile | Nachteile |
|---|---|
| ✔ Nur schwer durch Replay-Attacken zu knacken | ✘ Zusätzliche Technologie nötig |
| ✔ Keine Gefahr, dass ein entwendetes Passwort für mehrere Seiten bzw. Dienste benutzt werden kann | ✘ Security-Tokens können ausfallen bzw. kaputtgehen |
| ✔ Mehr Sicherheit für den Nutzer | ✘ Prozess der OTP-Passwort-Generierung teilweise umständlich |
HiDrive Cloud Speicher von IONOS!
Ihr sicherer Online-Speicher mit Serverstandort in Deutschland: zentral speichern, teilen und bearbeiten!
Überall verfügbar
Gemeinsamer Zugriff
Hochsicher (DSGVO-konform)
- Sicherheit
- Sicherheit
Ähnliche Artikel
iTAN, mTAN, chipTAN? Alle TAN-Verfahren im Überblick
Seit jeher ist Sicherheit im Onlinebanking das A und O – TAN-Verfahren wie zum Beispiel chipTAN machen es möglich. Es gibt aber noch viele andere Varianten dieser Zwei-Faktor-Authentifizierung, mit denen man seine Bankgeschäfte schützen kann. Jedoch ist jede Kette nur so stark wie ihr schwächstes Glied – und in diesem Fall ist das der Nutzer. Erfahren Sie, welche TAN-Verfahren zu empfehlen sind…
1Password-Alternativen: Die besten Passwortmanager
Passwortmanager sind extrem praktische Tools, mit denen Sie das alltägliche Passwortchaos besser bewältigen können. Sie funktionieren meist über Browser-Erweiterungen oder Desktop-Apps und sind plattformübergreifend verfügbar. Unter den Passwortmanagern hat sich besonders 1Password etabliert, ein für viele Nutzer solides Tool. Allerdings ist 1Password verhältnismäßig teuer und es gibt begründete…
wk1003mikeShutterstock
Passwort-Manager: Die besten Tools im Überblick
Würden Sie einem Fremden Ihre Kontonummer verraten? Mit Sicherheit nicht. Doch genau das tut man, wenn man Online-Banking oder Amazon-Zugänge mit Passwörtern sichert, die einem einfachen Hackerangriff nicht einmal wenige Sekunden standhalten können. Um wirklich sichere Kennwörter zu kreieren und auch verwalten zu können, lohnt sich der Einsatz eines Passwort-Managers.
Passwortsicherheit: Darum ist Passwortschutz auch 2019 ein brandaktuelles Thema
Am Tag der Passwortsicherheit erinnert das Portal WEB.DE Jahr für Jahr daran, wie wichtig sichere Passwörter sind. Und obwohl dieses Thema aufgrund der zunehmenden Digitalisierung von Arbeits- und Privatwelt wichtiger denn je ist, zeigen aktuelle Umfragen, wie viel Nachholbedarf deutsche Web-Nutzer in dieser Hinsicht haben. Wir präsentieren die häufigsten Fehler und die passenden Lösungsansätze.
Verschlüsselungssoftware im Vergleich
Mit wenigen Klicks einen Ordner mit einem Passwort schützen, Laufwerke ausblenden oder verschlüsselte Daten direkt mit einer Cloud synchronisieren: Eine gute Verschlüsselungssoftware kann eine ganze Menge für die Sicherheit Ihrer Daten tun. Welche kostenlosen und kostenpflichtigen Verschlüsselungstools empfehlenswert sind und welche Vor- und Nachteile sie jeweils haben, erfahren Sie hier.
