Was ist ein zeitbasiertes Einmalpasswort und sollten Sie eines verwenden?

Zeitbasierte Einmalpasswörter (TOTPs) sind der Computeralgorithmus für Einmalpasswörter. Sie erweitern das Hash-based Message Authentication Code (HMAC) Einmalpasswort (HMAC-based One-time Password, kurz HOTP).

TOTPs können anstelle oder als zusätzlicher Faktor neben traditionellen, langlebigeren Zwei-Faktor-Authentifizierungslösungen wie SMS-Nachrichten oder physischen Hardware-Token verwendet werden, die leicht gestohlen oder vergessen werden können. Was genau sind zeitbasierte Einmalpasswörter? Wie arbeiten Sie?

Was ist ein TOTP?

TOTP ist ein temporärer, einmalig verwendbarer Passcode, der von einem Algorithmus zur Benutzerauthentifizierung entsprechend der aktuellen Uhrzeit generiert wird. Es ist eine zusätzliche Sicherheitsebene für Ihre Konten, die auf Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) basiert. Das heißt, nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, müssen Sie einen bestimmten Code eingeben, der zeitabhängig und kurzlebig ist.

TOTP wird so genannt, weil es einen Standardalgorithmus verwendet, um einen eindeutigen und numerischen Einmal-Passcode unter Verwendung der Greenwich Mean Time (GMT) zu ermitteln. Das heißt, der Passcode wird aus der aktuellen Zeit während dieses Zeitraums generiert. Die Codes werden auch aus einem gemeinsamen Geheimnis oder einem geheimen Seed-Passwort generiert, das bei der Benutzerregistrierung beim Authentifizierungsserver entweder über QR-Codes oder Klartext bereitgestellt wird.

Dieser Passcode wird dem Benutzer angezeigt, der ihn für eine bestimmte Zeit verwenden soll, danach läuft er ab. Benutzer geben den einmaligen Passcode, ihren Benutzernamen und ihr reguläres Passwort innerhalb einer begrenzten Zeit in ein Anmeldeformular ein. Nach Ablauf ist der Code nicht mehr gültig und kann nicht in einem Anmeldeformular verwendet werden.

TOTPs enthalten eine Reihe dynamischer numerischer Codes, normalerweise zwischen vier und sechs Ziffern, die sich alle 30 bis 60 Sekunden ändern. Die Internet Engineering Task Force (IETF) hat TOTP veröffentlicht, das in RFC 6238 beschrieben ist, und verwendet einen Standardalgorithmus, um ein Einmalpasswort zu erhalten.

Mitglieder der Initiative for Open Authentication (OATH) sind die Köpfe hinter der Erfindung von TOTP. Es wurde ausschließlich unter Patent verkauft, und verschiedene Authentifizierungsanbieter haben es seitdem nach der Standardisierung vermarktet. Es wird derzeit häufig von Cloud-Anwendungsanbietern verwendet. Sie sind benutzerfreundlich und für den Offline-Einsatz verfügbar, was sie ideal für den Einsatz in Flugzeugen oder bei fehlender Netzabdeckung macht.

Wie funktioniert ein TOTP?

TOTPs als zweiter Autorisierungsfaktor für Ihre Apps bieten Ihren Konten eine zusätzliche Sicherheitsebene, da Sie die einmaligen numerischen Passwörter eingeben müssen, bevor Sie sich anmelden. Sie werden im Volksmund als „Software-Token“, „Soft-Token“ bezeichnet “ und „App-basierte Authentifizierung“ und finden Verwendung in Authentifizierungs-Apps wie Google Authenticator und Authy .

Es funktioniert so, dass Sie, nachdem Sie Ihren Benutzernamen und Ihr Passwort für Ihr Konto eingegeben haben, aufgefordert werden, einen gültigen TOTP-Code in einer anderen Anmeldeschnittstelle hinzuzufügen, um zu beweisen, dass Sie das Konto besitzen.

Bei einigen Modellen erreicht Sie das TOTP per SMS-Textnachricht auf Ihrem Smartphone. Sie können die Codes auch von einer Authentifizierungs-Smartphone-Anwendung abrufen, indem Sie ein QR-Bild scannen. Diese Methode ist die am weitesten verbreitete und die Codes laufen normalerweise nach etwa 30 oder 60 Sekunden ab. Einige TOTPs können jedoch 120 oder 240 Sekunden dauern.

Der Passcode wird auf Ihrer Seite erstellt und nicht auf der Seite des Servers, der die Authentifizierungsanwendung verwendet. Aus diesem Grund haben Sie immer Zugriff auf Ihr TOTP, sodass der Server nicht jedes Mal eine SMS senden muss, wenn Sie sich anmelden.

Es gibt andere Methoden, mit denen Sie Ihr TOTP erhalten können:

• Hardware-Sicherheitstoken.
• E-Mail-Nachrichten vom Server.
• Sprachnachrichten vom Server.

Da das TOTP zeitbasiert ist und innerhalb von Sekunden abläuft, haben Hacker nicht genug Zeit, um Ihre Passwörter zu antizipieren. Auf diese Weise bieten sie dem schwächeren Benutzernamen- und Passwort-Authentifizierungssystem zusätzliche Sicherheit.

Sie möchten sich beispielsweise bei Ihrer Workstation anmelden, die TOTP verwendet. Sie geben zuerst Ihren Benutzernamen und Ihr Passwort für das Konto ein und das System fordert Sie zur Eingabe eines TOTP auf. Sie können es dann von Ihrem Hardware-Token oder dem QR-Bild lesen und in das TOTP-Anmeldefeld eingeben. Nachdem das System den Passcode authentifiziert hat, meldet es Sie bei Ihrem Konto an.

Der TOTP-Algorithmus, der den Passcode generiert, erfordert die Zeiteingabe Ihres Geräts und Ihren geheimen Seed oder Schlüssel. Sie benötigen keine Internetverbindung, um das TOTP zu generieren und zu überprüfen, weshalb Authentifizierungs-Apps offline funktionieren können. TOTP ist für Benutzer erforderlich, die ihre Konten verwenden möchten und während der Reise in Flugzeugen oder in abgelegenen Gebieten, in denen keine Netzwerkverbindung verfügbar ist, eine Authentifizierung benötigen.

Wie wird TOTP authentifiziert?

Der folgende Prozess bietet eine einfache und kurze Anleitung zur Funktionsweise des TOTP-Authentifizierungsprozesses.

Wenn ein Benutzer auf eine Anwendung wie eine Cloud-Netzwerkanwendung zugreifen möchte, wird er aufgefordert, das TOTP einzugeben, nachdem er seinen Benutzernamen und sein Passwort eingegeben hat. Sie verlangen, dass 2FA aktiviert wird, und das TOTP-Token verwendet den TOTP-Algorithmus, um das OTP zu generieren.

Der Benutzer gibt das Token auf der Anforderungsseite ein, und das Sicherheitssystem konfiguriert sein TOTP unter Verwendung derselben Kombination aus der aktuellen Zeit und dem gemeinsamen Geheimnis oder Schlüssel. Das System vergleicht die beiden Passcodes; Wenn sie übereinstimmen, wird der Benutzer authentifiziert und erhält Zugriff. Es ist wichtig zu beachten, dass die meisten TOTP mit QR-Codes und Bildern authentifiziert werden.

TOTP vs. HMAC-basiertes Einmalpasswort

Das HMAC-basierte One-Time Password stellte das Framework bereit, auf dem TOTP aufgebaut wurde. Sowohl TOTP als auch HOTP haben Ähnlichkeiten, da beide Systeme einen geheimen Schlüssel als eine der Eingaben zum Generieren des Passcodes verwenden. Während TOTP jedoch die aktuelle Zeit als andere Eingabe verwendet, verwendet HOTP einen Zähler.

Darüber hinaus ist TOTP in Bezug auf die Sicherheit sicherer als HOTP, da die generierten Passwörter nach 30 bis 60 Sekunden ablaufen und danach ein neues generiert wird. In HOTP bleibt der Passcode gültig, bis Sie ihn verwenden. Aus diesem Grund können viele Hacker auf HOTPs zugreifen und diese für erfolgreiche Cyberangriffe nutzen. Obwohl HOTP immer noch von einigen Authentifizierungsdiensten verwendet wird, erfordern die meisten gängigen Authentifizierungs-Apps TOTP.

Was sind die Vorteile der Verwendung eines TOTP?

TOTPs sind vorteilhaft, weil sie Ihnen eine zusätzliche Sicherheitsebene bieten. Allein das Benutzername-Passwort-System ist schwach und häufig Man-in-the-Middle-Angriffen ausgesetzt. Bei den TOTP-basierten 2FA/MFA-Systemen haben die Hacker jedoch nicht genug Zeit, um auf Ihr TOTP zuzugreifen, selbst wenn sie Ihr herkömmliches Passwort gestohlen haben, sodass sie kaum Gelegenheit haben, Ihre Konten zu hacken.

TOTP-Authentifizierung bietet zusätzliche Sicherheit

Cyberkriminelle können leicht auf Ihren Benutzernamen und Ihr Passwort zugreifen und Ihr Konto hacken. Mit den TOTP-basierten 2FA/MFA-Systemen können Sie jedoch ein sichereres Konto haben, da TOTPs zeitgebunden sind und innerhalb von Sekunden ablaufen. Die Implementierung von TOTP lohnt sich eindeutig.