Was ist ein Einmalpasswort (OTP)?
Ein Einmalpasswort (OTP) ist eine automatisch generierte numerische oder alphanumerische Zeichenfolge, die einen Benutzer für eine einzelne Transaktion oder Anmeldesitzung authentifiziert.
Ein OTP ist sicherer als ein statisches Passwort, insbesondere ein vom Benutzer erstelltes Passwort, das schwach sein und / oder über mehrere Konten hinweg wiederverwendet werden kann.
OTPs können Authentifizierungsanmeldeinformationen ersetzen oder zusätzlich verwendet werden, um eine weitere Sicherheitsebene hinzuzufügen.
Beispiele für Einmalpasswörter
OTP-Sicherheitstoken sind mikroprozessorbasierte Smartcards oder Schlüsselanhänger im Taschenformat, die einen numerischen oder alphanumerischen Code erzeugen, um den Zugriff auf das System oder die Transaktion zu authentifizieren. Dieser Geheimcode ändert sich alle 30 oder 60 Sekunden, je nachdem, wie das Token konfiguriert ist.
Apps für mobile Geräte, wie z. B. Google Authenticator, verwenden das Token-Gerät und die PIN, um das Einmalkennwort für die zweistufige Überprüfung zu generieren.
OTP-Sicherheitstoken können mit Hardware, Software oder on Demand implementiert werden. Im Gegensatz zu herkömmlichen Passwörtern, die statisch bleiben oder alle 30 bis 60 Tage ablaufen, wird das Einmalpasswort für eine Transaktion oder Anmeldesitzung verwendet.
Abrufen eines Einmalkennworts
Wenn ein nicht authentifizierter Benutzer versucht, auf ein System zuzugreifen oder eine Transaktion auf einem Gerät durchzuführen, generiert ein Authentifizierungsmanager auf dem Netzwerkserver mithilfe von Einmalkennwortalgorithmen eine Nummer oder ein gemeinsames Geheimnis. Dieselbe Nummer und derselbe Algorithmus werden vom Sicherheitstoken auf der Smartcard oder dem Gerät verwendet, um das Einmalkennwort und den Benutzer abzugleichen und zu validieren.
Viele Unternehmen verwenden Short Message Service (SMS), um einen temporären Passcode per Text für einen zweiten Authentifizierungsfaktor bereitzustellen. Der temporäre Passcode wird über die Mobilfunkkommunikation außerhalb des Bandes abgerufen, nachdem der Benutzer seinen Benutzernamen und sein Kennwort in vernetzten Informationssystemen und transaktionsorientierten Webanwendungen eingegeben hat.
Bei der Zwei-Faktor-Authentifizierung (2FA) gibt der Benutzer seine Benutzer-ID, sein traditionelles Passwort und seinen temporären Passcode ein, um auf das Konto oder System zuzugreifen.
Funktionsweise eines Einmalkennworts
Bei OTP-basierten Authentifizierungsmethoden sind die OTP-App des Benutzers und der Authentifizierungsserver auf gemeinsame Geheimnisse angewiesen.
Die Werte für Einmalpasswörter werden mithilfe des HMAC-Algorithmus (Hashed Message Authentication Code) und eines gleitenden Faktors wie zeitbasierte Informationen (Time-Based Information, TOTP) oder eines Ereigniszählers (Event Counter, HOTP) generiert.
Die OTP-Werte haben Minuten- oder Sekundenzeitstempel für mehr Sicherheit. Das Einmalpasswort kann einem Benutzer über mehrere Kanäle zugestellt werden, einschließlich einer SMS-basierten Textnachricht, einer E-Mail oder einer dedizierten Anwendung auf dem Endpunkt.
Sicherheitsexperten sind seit langem besorgt, dass SMS-Nachrichten-Spoofing und Man-in-the-Middle (MITM) -Angriffe verwendet werden können, um 2FA-Systeme zu brechen, die auf Einmalpasswörtern basieren. Allerdings ist die U.S. Das National Institute of Standards and Technology (NIST) kündigte Pläne an, die Verwendung von SMS für 2FA und Einmalpasswörter abzulehnen, da die Methode anfällig für eine Reihe von Angriffen ist, die diese Kennwörter und Codes gefährden könnten. Daher sollten Unternehmen, die die Bereitstellung von Einmalpasswörtern in Betracht ziehen, neben SMS auch andere Zustellungsmethoden in Betracht ziehen.
Vorteile eines Einmalkennworts
Das Einmalkennwort vermeidet häufige Fallstricke, mit denen IT-Administratoren und Sicherheitsmanager bei der Kennwortsicherheit konfrontiert sind. Sie müssen sich keine Gedanken über Kompositionsregeln, bekannt schlechte und schwache Passwörter, die gemeinsame Nutzung von Anmeldeinformationen oder die Wiederverwendung desselben Passworts auf mehreren Konten und Systemen machen.
Ein weiterer Vorteil von Einmalpasswörtern besteht darin, dass sie innerhalb von Minuten ungültig werden, wodurch Angreifer daran gehindert werden, die Geheimcodes zu erhalten und wiederzuverwenden.