Was ist ein Einmal-Passwort (OTP)?

Ein Einmal-Passwort (OTP) ist eine Zeichen- oder Ziffernfolge, mit der sich ein Nutzer einmalig für einen Login oder eine Transaktion authentifiziert. Ein Algorithmus generiert unter Berücksichtigung des Kontexts – etwa des Zeitpunkts der Anmeldung oder früherer Logins – für jedes Einmal-Passwort einen eigenen Wert.

Der Tech Support versendet diese OTPs dann in der Regel an Nutzer, die Ihre Anmeldedaten für ein Konto oder eine Website nicht mehr wissen, oder falls die entsprechende Ressource einen zusätzlichen Schutz vor unbefugten Zugriffen benötigt. Alternativ können OTP als zweite Authentisierungsebene dienen, die ein nicht-verifizierter Nutzer passieren muss, um auf einen Account zuzugreifen.

Unternehmen sollten bei der Authentisierung von Usern drei unabhängige Faktoren berücksichtigen:

1. Wissen. Etwas, das der Nutzer weiß, wie ein Passwort, Pin oder eine Sicherheitsfrage.
2. Besitz Etwas, das das der Nutzer besitzt, wie ein Token, eine Kreditkarte oder ein Telefon.
3. Biometrie. Etwas, das den Nutzer eindeutig identifiziert, wie Fingerabdrücke oder Verhaltensmuster.

Neben Passwörtern verteilen viele Security-Teams auch Besitz-Faktoren wie OTPs, also zum Beispiel Token oder Handybenachrichtigungen – etwas, das der User wahrscheinlich bereits besitzt.

Die Vorteile von Einmal-Passwörtern (OTPs)

Nachdem Sie jetzt wissen, was OTPs sind, sehen wir uns an, wie sie Ihr Business schützen können.

• Schutz vor Replay-Angriffen: Die Authentisierung per OTP bietet im Vergleich zu statischen Passwörtern eine Reihe von Vorteilen.  So sind OTPs im Gegensatz zu klassischen Passwörtern nicht anfällig für Replay-Angriffe, bei denen ein Hacker Login-Daten (wie die Passwörter von Usern) abfängt und speichert, um sich später selbst in das System oder den Account einzuloggen. Sobald sich ein User mit einen OTP anmeldet, verliert der Code seine Gültigkeit – und die Angreifer können ihn nicht mehr nutzen.
• Schwer zu erraten: OTPs werden von Algorithmen auf Basis des Zufallsprinzips generiert. Das macht es für Angreifer wesentlich schwieriger, sie zu erraten und auszunutzen. Außerdem sind OTPs nur für kurze Zeit gültig, erfordern mitunter die Kenntnis älterer OTPs oder stellen Usern Aufgaben (z. B. „Geben Sie die zweite und die fünfte Nummer ein“). So können Sie die Angriffsfläche Ihrer Anwendungsumgebung erheblich verringern, statt sich auf die Authentisierung per Passwort zu verlassen.
• Geringeres Risiko bei einem Passwortdiebstahl: Viele User vernachlässigen die Security und verwenden dieselben Anmeldedaten für verschiedene Accounts. Wenn diese publik werden oder in falsche Hände geraten, wird der User zur Zielscheibe für Daten- und Identitätsdiebstahl. OTP-Security verhindert diese Breaches, selbst wenn ein Angreifer bereits gültige Anmeldedaten gestohlen hat.
• Einfache Integration: Einmal-Passwörter lassen sich leicht in die Authentisierungsverfahren der Unternehmen integrieren. Die kryptischen Codes sind zwar schwer zu merken, doch die Security-Teams können sie einfach über die weithin verfügbaren Telefone, Token und andere Technologien an ihre Mitarbeiter weitergeben.

Welche Arten von OTPs gibt es?

Die OTP-Authentisierung basiert auf Token.  Zu den geläufigsten Varianten zählen:

Hardware Token

Hardware Token sind physikalische Devices, die OTPs übermitteln und so den Zugang zu Accounts und anderen Ressourcen ermöglichen. Hierzu gehören:

• Connected Token: Nutzer verbinden diese Token direkt mit dem System oder dem Device, auf das sie zugreifen möchten. Dafür stecken sie einfach Smart Cards oder USB-Laufwerke in den Smart Card Reader oder den USB-Port eines Endgeräts.
• Disconnected Token: Das am häufigsten genutzte Token für Multi-Faktor-Authentifizierung (MFA). Diese Token müssen die User nicht unbedingt direkt mit den Systemen verbinden. Die Token dienen in der Regel dazu, das OTP zu generieren. In diese Kategorie fallen zum Beispiel Schlüsselanhänger im Pocket-Format, Keyless-Zugangssysteme, Mobiltelefone oder Devices für das Online-Banking.
• Kontaktlose Token: Diese Token übertragen die Authentisierungsdaten an ein System, das sie analysiert und entscheidet, ob der User zugreifen darf. Hierunter fallen etwa Bluetooth-Token, die weder physische Verbindungen noch eine manuelle Eingabe erfordern.

Software Token:

Software Token sind keine physikalischen Geräte, die wir besitzen. Sie sind als Software auf Geräten wie Laptops und Mobiltelefonen installiert. Für gewöhnlich versendet dabei eine App Push-Nachrichten oder SMS, um den User zu authentisieren und seine Identität zu verifizieren.

Jedes dieser Verfahren basiert auf demselben Prozess: Der User gibt seine Anmeldedaten in ein System ein. Das System verifiziert die Gültigkeit der Daten und gewährt dem User Zugriff. Es funktioniert also genauso wie ein Passwort, doch ein OTP verhindert, dass Login-Daten bei der Eingabe ins System abgefangen werden.

Welche Authentisierung bietet den besten Schutz?

Nicht alle Methoden sind gleich. Wenn Sie MFA implementieren, erreichen Sie automatisch ein höheres Maß an Sicherheit als beim Schutz durch ein Passwort – aber auch jeder Authentikator bietet ein anderes Maß an Sicherheit. Hier einige Tipps, um Ihr Sicherheitsrisiko zu minimieren:

Obwohl die SMS-Authentisierung weit verbreitet und komfortabel ist, bietet sie ein geringeres Schutz-Niveau.

Aus unserem Alltag wissen wir, wie einfach es ist, über SMS zu kommunizieren. Daher macht es durchaus Sinn, dass so viele Unternehmen und Services auf ein SMS-OTP als Zweitfaktor ihrer Identitätsverifikation setzen.

Allerdings ist ein SMS-OTP auch für eine Reihe von Angriffen anfällig, darunter:

• SIM-Swapping und SIM-Hacking: Ihre SIM-Karte sagt Ihrem Telefon, mit welchem Anbieter und mit welchem Kontakt es sich verbinden soll. Bei einer SIM-Swapping-Attacke überzeugt ein Angreifer Ihren Netzprovider, Ihre Nummer auf seine SIM zu übertragen. So erhält er alle SMS-OTP, die auf Ihrem Account eingehen.
• Account-Übernahme: Viele Wireless-Provider ermöglichen es Nutzern, ihre Nachrichten über ein Web-Portal zu lesen. Ist Ihr Online-Account im Web-Portal jedoch nur durch ein schwaches oder gängiges Passwort geschützt, liefern Sie Angreifern Ihren Account und Ihre OTP-Nachrichten auf dem Silbertablett.
• Verlorene synchronisierte Devices: Wenn Sie Ihr Telefon verlieren, sollten Sie theoretisch keine OTP-Nachrichten via SMS empfangen können. Allerdings ist es möglich, verschiedene Geräte miteinander zu synchronisieren, um sich auch ohne Telefon mit SMS-OTP zu authentisieren und Zugang zu erhalten. Das Weiterleiten sensibler Nachrichten öffnet Angreifern also Tür und Tor – vor allem dann, wenn das Passwort für Ihren E-Mail-Account leicht zu erraten ist.
• Phishing: Bei Social-Engineering-Attacken gibt sich der Angreifer als Mitarbeiter eines vertrauenswürdigen Services aus und überzeugt Sie, Ihre Konto-Zugangsdaten und Ihr SMS-OTP preiszugeben. Phishing-Attacken machen sich die Emotionen und die Unwissenheit der User zu Nutze. Hacker können auf diese Weise SMS-OTP ebenso einfach abfangen wie Passwörter.

Je mehr Unternehmen auf Remote Work umstellen, desto mehr Mitarbeiter verwenden Mobilgeräte, um auf die Anwendungen ihres Unternehmens zuzugreifen. In unserem Businesses @ Work (from Home) Report erfahren Sie mehr darüber, was dies mit Blick auf die Security bedeutet.

Die Vor- und Nachteile von OTP-Security-Token

Hardware Token wie RSA SecureID sind gegenüber SMS-basierten OTP ein klares Upgrade: Sie stützen sich auf etwas, das der Nutzer besitzt, und sind damit weniger angreifbar als eine Authentisierung über den Faktor Wissen. Darüber hinaus setzen OTP-Devices wie Security Keys auf asymmetrische Verschlüsselungs-Algorithmen und stellen damit sicher, dass das OTP nur auf dem Token zugänglich ist.

Aber die physikalische Form hat auch ihre Schattenseiten. Die Nutzer müssen ein weiteres Device mit sich herumtragen – und das kann verloren gehen, beschädigt oder gestohlen werden. Gerade für die IT-Abteilungen großer Unternehmen wird die Verwaltung der OTP-Token schnell zur Herausforderung – und in den falschen Händen zum Sicherheitsrisiko.

Zudem verfügt nicht jedes System über eine physikalische Schnittstelle für die Anbindung von Token. USB-Laufwerke wie U2F Keys eigenen sich zum Beispiel nicht für den Schutz mobiler Geräte ohne USB-Port.

Authentisierungsapps sind eine robuste Alternative.

• Mobile Authentisierungslösungen wie Okta Verify, Authy und Google Authenticator verifizieren User über OTPs und Push-Nachrichten auf ihren Apps Authentisierungsapps heben – anderes als die vorherigen Methoden – die Security auf ein neues Level:
• Mobile OTP funktionieren auch ohne Internetzugang, ohne Ihren Standort zu kennen und ohne die Security-Features Ihres Mobilfunkanbieters einzubinden. Die OTP- und Push-Benachrichtigungen sind an Ihr Gerät und nicht an Ihre Nummer gebunden und funktionieren in der Regel ohne Netzdienst oder Daten.
• Für gewöhnlich ist ein mobiles OTP ein kostenloses Feature, das zahlreiche Authentisierungsapps unterstützen – und damit sowohl für Unternehmen als auch für Privatpersonen leicht zu integrieren.
• Und da Push-Nachrichten und mobile OTP schnell ablaufen, reduziert sich das Risiko eines Datenmissbrauchs gegenüber SMS-OTP beträchtlich.
• Einige Authentisierungsapps unterstützen zudem biometrische Daten wie die Gesichts- oder Fingerabdruckerkennung. Diese zusätzliche Security-Ebene stellt sicher, dass nur Sie die Push-Nachrichten auf Ihrem Device bestätigen können – selbst wenn Ihr Telefon gestohlen wird.

WebAuthn für einen flächendeckenden Schutz

WebAuthn ist eine Browser-basierte API, die User über registrierte Devices (Desktop oder Mobilgeräte) verifiziert. WebAuthn lässt sich mit den in Ihrem Device implementierten biometrischen Authentifikatoren (z. B. Windows Hello, Fingerprint auf Android, Touch ID auf iOS) sowie tragbaren Geräten wie Yubikey 5Ci integrieren.

Die Highlights von WebAuthn

• Die Public-Key-Kryptologie schützt Nutzer zuverlässig vor Phishing-Angriffen.
• Die Integration mit den Devices und den biometrischen Daten der Nutzer ermöglicht eine schnelle und einfache Anmeldung.
• Google Chrome, Microsoft Edge und Firefox erlauben die Kopplung mit biometrischen Devices und lassen sich so ebenfalls mit WebAuthn verbinden.

Für einen sicheren Zugang empfehlen wir den Einsatz von mobiler App-Authentisierung und WebAuthn sowie andere OTP-Verfahren als Back-Up.

Hier erfahren Sie mehr

Es gibt eine breite Palette verschiedener Authentisierungsverfahren zum Schutz Ihrer Accounts. Mehr über die Vor- und Nachteile der einzelnen Methoden erfahren Sie in unserem Datenblatt zur Factor Assurance.