One-Time Password – OTP

Die perfekte Lösung schützt gegen unbefugten Zugriff und sorgt für sichere Transaktionen

Nie wieder unsichere Passwörter! One-Time Passwords (OTP) machen es möglich: Dabei handelt es sich um Einmalkennwörter bzw. Einmalpasswörter zur Authentifizierung an Servern und Systemen. Wie der Name bereits verrät, können OPTs nur ein einziges Mal verwendet werden. Entsprechend erfordert jede Authentifizierung oder Autorisierung ein neues Einmalkennwort. Bei der so genannten 2-Faktor-Authentifizierung wird das Passwort um eine PIN ergänzt – es müssen also beide Elemente vorhanden sein, damit der jeweilige Zugang gewährt wird.

Im Gegensatz zu OTPs haben herkömmliche statische Passwörter zur Benutzerauthentifikation einen entscheidenden Nachteil: Sie können ausspioniert, erraten oder weitergegeben werden. Ein OTP hingegen ist eine automatisch generierte Zahl oder alphanumerische Zeichenkette, mit der sich ein Anwender für eine einzige Sitzung authentifiziert. Diese Zeichenkette wird mittels eines Kennwortgenerators, auch OTP-Token genannt, generiert.

OTP-Token gibt es in verschiedenen Varianten, d.h. zum Beispiel als kleines elektronisches Gerät mit Display oder als App für Smartphones, wobei nach Drücken des Starknopfes das OTP angezeigt wird.

Durch einen speziellen Algorithmus erzeugt der OTP-Token zu jedem Zeitpunkt ein aktuelles Kennwort. Bei der Generierung können folgende drei Verfahren zur Anwendung kommen:

  • Zeitgesteuert
  • Ereignisgesteuert
  • Challenge-Response-gesteuert

Mit der Übertragung des Ergebnisses weist der Client nach, dass er über den richtigen Algorithmus verfügt.

Zeitgesteuert

Beim zeitgesteuerten Verfahren führen Client (OTP-Token) und Server jeweils dieselbe Berechnung aus. Der Server akzeptiert und berechnet im Allgemeinen innerhalb eines Toleranzbereichs mehrere Einmalkennwörter. Dies geschieht deshalb, weil die Uhrzeit des Tokens nicht exakt der Uhrzeit des Servers entspricht. Jedes Einmalkennwort ist für ein genau definiertes Zeitintervall gültig.

Ereignisgesteuert

Bei der ereignisgesteuerten Erzeugung werden die Einmalpasswörter auf Anforderung, zum Beispiel durch Drücken einer Taste auf dem Token, erzeugt. Eine Uhr ist dabei nicht notwendig: Das neue Einmalpasswort kann ausgehend von dem zuvor erzeugten generiert werden. Auch bei diesem Verfahren akzeptieren die Server im Allgemeinen mehrere mögliche Werte, sofern sie nicht bereits verwendet wurden.

Challenge-Response-gesteuert

Die meisten auf dem Markt erhältlichen OTP-Token nutzen zur Generierung des OTP die Implementierungen des Einmalkennworts nach Lamport (auch als Lamport Hash bezeichnet). Dessen Algorithmus beruht im Wesentlichen auf dem wiederholten Anwenden einer Hashfunktion. Voraussetzung für dieses One-Time-Password-Verfahren ist, dass beide Beteiligte (Client und Server) ein gemeinsames, geheimes Kennwort kennen. Aus diesem wird nun eine Reihe von One-Time Passwords (OTP) erzeugt.

Ein One-Time Password ist sicherer als ein statisches Passwort. Das gilt im Speziellen dann, wenn der Anwender für die Erstellung des Passworts selbst zuständig ist und sich an keine Passwort-Richtlinien halten muss. Dies führt in der Regel zu schwachen Passwörtern, weil diese leicht zu merken sind. Komplexe Passwörter hingegen sind schwer zu merken oder werden notiert. Hier kommen OTPs ins Spiel: Sie sind eine einfache Ergänzung, um bei gleichbleibender Komplexität die Passwort-Sicherheit um ein Vielfaches zu erhöhen. Dazu kann bei Einmalpasswörtern ein weiteres Sicherheitslevel hinzugefügt werden, indem zusätzlich eine PIN eingegeben werden muss.