Was ist ein Einmal-Passwort (OTP)?

Was ist ein Einmal-Passwort (OTP)?

Ein Einmal-Passwort, Einmal-PIN oder auch One-Time-Password (Abkürzung OTP) genannt, ist ein Passwort, das für eine bestimmten Zeitraum gültig ist, wenn eine einzelne Login-Sitzung oder Transaktion abgeschlossen wird.

Ein Einmal-Passwort hilft, einige der Nachteile traditioneller, vom Benutzer erstellter, statischer oder fester Passwörter zu umgehen. Einmal-Passwörter können allein oder in Verbindung mit einer Multi-Faktor-Authentifizierung verwendet werden, um z.B. eine zusätzliche Sicherheitsstufe hinzuzufügen.

Einmal-Passwörter werden automatisch generiert und laufen nach einem bestimmten Zeitraum ab (z.B. alle 60 Sekunden). Wenn nach Ablauf der Zeit ein neues OTP generiert wird, bleibt es der einzige gültige Code vor dem nächsten Zurücksetzen.

OTP-Anwendungsbereiche

Ist die Nutzung unabhängig, wird ein Benutzer aufgefordert, einige persönliche Informationen einzugeben, wie z.B. eine E-Mail-Adresse, eine Telefonnummer oder einen Benutzernamen. Das zufällig generierte Einmal-Passwort wird dann per E-Mail, SMS, Push-Benachrichtigung oder auf anderem Wege an den Benutzer gesendet. Da der Benutzer die einzige Person sein sollte, die es erhält, kann er sicher sein, dass er exklusiven Zugriff hat. Anschließend kann er sich dann einloggen.

Wenn das Einmal-Passwort in Verbindung mit einem üblichen Passwort verwendet wird, wird der Benutzer aufgefordert, sich normal anzumelden. Erst nach erfolgreicher Eingabe seines regulären Anmeldekennworts wird das OTP gesendet oder angefordert. In vielen Fälle erhalten die Benutzer kleine Geräte, wie z.B. einen Schlüsselanhänger oder einen Token, um das Einmal-Passwort zu generieren, welches sie für den Zugang zu ihrem Konto verwenden würden. Alternativ kann ein Benutzer ein OTP- oder
„Authenticator“-Client (z.B. Google Authenticator) auf sein Smartphone herunterladen, der ein mit einem bestimmten Anmeldeverfahren verknüpftes OTP anzeigt.

OTP-Tokens können entweder ereignis- oder zeitbasiert sein.

• Ereignisbasierte Token generieren auf Knopfdruck neue Codes und bleiben bis zur Verwendung gültig.
• Zeitbasierte Token generieren Codes, die nur für eine bestimmte Zeitspanne (normalerweise weniger als eine Minute) gültig sind, wonach ein neuer Code generiert wird. Diese Token sind in beim Online-Banking recht beliebt, um sicherzustellen, dass die sensiblen Bankinformationen der Benutzer sicher aufbewahrt werden und um das Risiko eines unbefugten Zugriffs auf die Benutzerkonten zu verringern oder zu eliminieren.

Vorteile von Einmal-Passwörtern

• Der wichtigste Vorteil und Hauptgrund für OTPs ist die Sicherheit. Da sich ein Einmalpasswort bei jedem Anmeldeversuch ändert, wird das Risiko einer Kompromittierung eines Kontos drastisch reduziert, wenn nicht sogar eliminiert.
• Einmal-Passwörter sind zufällig generierte Zeichenfolgen, die praktisch unmöglich zu erraten sind. In Branchen, die mit hochsensiblen privaten Informationen zu tun haben, wie z. B. im Finanzwesen, können Einmal-Passwörter dazu beitragen, das Betrugsrisiko zu verringern und gleichzeitig den Benutzern, Sicherheit und Vertrauen beim Zugriff auf ihre Ressourcen zu geben.
• Ein weiterer Vorteil besteht darin, dass sie zufällig generiert werden, so dass sich der Benutzer nicht bemühen muss, sie sich zu merken. Das OTP wird immer über eine Authentisierungsapplikation (z.B. Windows-Authenticator) oder einen physischen Token bereitgestellt.
• Zufallsgenerierte Passwörter sind weit aus sicherer als vom Benutzer eigens erstellte Passwörter. Vom Benutzer erstellte Passwörter sind in der Regel recht schwach und die Wiederverwendung über mehrere Konten hinweg, die Sicherheit weiter verringert. Benutzer erstellen schwache Passwörter, um sich diese leichter merken zu können, doch oft fehlt es an ausreichender Komplexität.
• Durch die Verwendung von Einmal-Passwörtern entfällt auch die gemeinsame Nutzung von Zugangsdaten durch Mitarbeiter innerhalb oder – schlimmer noch – außerhalb einer Organisation.

Nachteile von Einmal-Passwörtern

• Der Hauptnachteil der Verwendung von Einmal-Passwörtern besteht darin, dass einige Benutzer dies Methode als benutzerunfreundlich und anstrengend empfinden könnten. Weniger technisch versierte Benutzer könnten z.B. das OTP-Verfahren als verwirrend oder unnötig empfinden und eine Erklärung seiner vollen Vorteile benötigen.
• Es kann auch sein, dass ein Benutzer nicht auf das OTP zugreifen kann. Einige per E-Mail verschickte OTPs werden möglicherweise verzögert zugestellt oder landen in einem Spam-Ordner.
• Wenn ein Benutzer einen physischen Token verliert, hat er den Zugang zu seinem OTP verloren.
• Viele Benutzer empfinden diese Methode als störend oder nervig, weil sie ein weiteres Gerät mit sich führen, öffnen müssen und den Code manuell abtippen müssen. Obwohl sie die Sicherheitsvorteile der Verwendung von Einmal-Passwörtern verstehen und auch schätzen. Einige Benutzer bevorzugen aus diesem Grund die Verwendung mobiler Anwendungen auf ihren Smartphones. Die Benutzer vergessen zwar eventuell mal ihren Schlüsselanhänger oder Token, aber ihr Smartphone haben sie bestimmt dabei.

OTP – eine bewährte Methode zur Erhöhung der IT-Sicherheit

Letztendlich sind Einmal-Passwörter eine bewährte Authentifizierungsmethode zur Erhöhung der IT-Sicherheit und zur Reduzierung von gehackten Konten, Betrug und anderer Cyberkriminalität. Trotz des zusätzlichen Aufwands, der oft erforderlich ist, um diese Methode zu nutzen, sind sich die meisten Benutzer einig, dass dies ein geringerer Preis für die Sicherheit und den inneren Seelenfrieden ist, der mit der Verwendung von Einmal-Passwörtern einhergeht.