Was ist TOTP (zeitbasiertes Einmalpasswort)?

Zeitbasierte Einmalpasswörter (TOTP) sind eine sichere Beglaubigung Methode, die temporäre, zeitkritische Codes zur Überprüfung der Benutzeridentität generiert.

Was bedeutet TOTP?

Ein zeitbasiertes Einmalkennwort (TOTP) ist eine Art dynamischer Passcode, der in Authentifizierungssystemen verwendet wird, um die Sicherheit durch die Generierung eines temporären, eindeutigen Codes zu erhöhen, der nach einer kurzen, vordefinierten Zeit abläuft.

TOTP basiert auf dem HMAC-basierten One-Time Password (HOTP)-Algorithmus und kombiniert einen gemeinsamen geheimen Schlüssel mit der aktuellen Uhrzeit. Dabei wird üblicherweise UNIX Zeitintervalle als Referenz. Das Ergebnis ist ein Einmalkennwort, das sowohl benutzerspezifisch als auch zeitsensitiv ist. Da sich der Code in regelmäßigen Abständen ändert, normalerweise alle 30 oder 60 Sekunden, wird das Risiko von Replay-Angriffen erheblich reduziert, da abgelaufene Codes nicht wiederverwendet werden können.

TOTPs werden häufig eingesetzt in Zwei-Faktor-Authentifizierung (2FA) Systeme, wo sie als zusätzliche Verifizierungsebene neben den herkömmlichen Anmeldeinformationen dienen und so einen höheren Schutz vor unbefugtem Zugriff gewährleisten.

Was ist der Unterschied zwischen 2FA und TOTP?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, bei der Benutzer ihre Identität anhand von zwei unterschiedlichen Faktoren bestätigen müssen, z. B. etwas, das sie wissen (Passwort) und etwas, das sie haben (Sicherheitstoken oder -code). TOTP (Time-based One-Time Password) ist eine spezielle Technologie, die häufig als zweiter Faktor in 2FA-Systemen verwendet wird.

Während sich 2FA auf den allgemeinen Sicherheitsansatz bezieht, ist TOTP ein Mechanismus zum Generieren zeitkritischer, eindeutiger Codes, die als ein Teil des 2FA-Prozesses dienen. Im Wesentlichen ist 2FA das umfassendere Konzept der mehrschichtigen Authentifizierung und TOTP ist eines der Tools, mit denen es implementiert wird.

Wie funktioniert TOTP?

TOTP funktioniert durch die Generierung eines einzigartigen, zeitkritischen Codes auf der Grundlage einer gemeinsamen geheimer Schlüssel und die aktuelle Uhrzeit. Beim Einrichten von TOTP tauschen der Dienstanbieter und der Benutzer einen gemeinsamen geheimen Schlüssel aus, der normalerweise in einem QR-Code oder einer alphanumerischen Zeichenfolge codiert ist. Dieser Schlüssel wird sicher in der TOTP-App des Benutzers gespeichert, beispielsweise Google Authenticator oder Authy.

Wenn ein TOTP-Code erforderlich ist, kombiniert die App das gemeinsame Geheimnis mit dem aktuellen Zeitstempel. Dabei wird normalerweise die in Intervalle unterteilte UNIX-Zeit verwendet (z. B. 30 Sekunden). Auf diese Kombination wird eine kryptografische Hash-Funktion (HMAC) angewendet, um einen eindeutigen numerischen Code zu generieren. Der Dienstanbieter berechnet den erwarteten TOTP unabhängig voneinander unter Verwendung desselben gemeinsamen Geheimnisses und Zeitintervalls. Zur Authentifizierung gibt der Benutzer den TOTP-Code ein und der Dienst validiert ihn, indem er ihn mit dem erwarteten Wert vergleicht. Da der Code an ein bestimmtes Zeitintervall gebunden ist, läuft er nach kurzer Zeit automatisch ab, was eine erhöhte Sicherheit gewährleistet.

Was ist ein TOTP-Beispiel?

Ein gängiges Beispiel für TOTP ist die Verwendung bei der Zwei-Faktor-Authentifizierung (2FA) für Online-Konten. Angenommen, ein Benutzer möchte sich bei seinem E-Mail-Konto anmelden. Nach der Eingabe von Benutzername und Passwort fordert das System ihn zur Eingabe eines sechsstelligen TOTP-Codes auf. Der Benutzer öffnet eine TOTP-App wie Google Authenticator, die einen Code anzeigt, der sich alle 30 Sekunden ändert.

Beispielsweise könnte die App den Code anzeigen 438917. Der Benutzer gibt diesen Code in die Anmeldeaufforderung ein und das System überprüft ihn, indem es mithilfe des gemeinsamen Geheimnisses und der aktuellen Zeit seine eigene Version des Codes berechnet. Wenn die Codes übereinstimmen, wird dem Benutzer Zugriff gewährt. Dieser Prozess stellt sicher, dass sich ein Angreifer auch bei kompromittiertem Passwort nicht ohne den einzigartigen TOTP-Code anmelden kann, der nur für eine begrenzte Zeit gültig ist.

Wie bekomme ich TOTP?

Um TOTP zu erhalten, benötigen Sie eine TOTP-kompatible App und einen Dienst, der dies zur Authentifizierung unterstützt. So können Sie es einrichten:

1. Aktivieren Sie TOTP für den Dienst. Melden Sie sich bei Ihrem Konto bei dem Dienst an, den Sie sichern möchten (z. B. E-Mail, cloud Speicher, Banking). Navigieren Sie zu den Sicherheitseinstellungen und aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) mithilfe einer TOTP-App.
2. Scannen oder geben Sie den geheimen Schlüssel ein. Der Dienst stellt einen QR-Code oder einen manuellen Schlüssel bereit. Verwenden Sie Ihre TOTP-App (wie Google Authenticator, Authy oder Microsoft Authenticator), um den QR-Code zu scannen oder den Schlüssel manuell einzugeben.
3. TOTP-Codes generieren. Nach der Einrichtung generiert die App zeitabhängige Codes, die alle 30 oder 60 Sekunden aktualisiert werden. Diese Codes sind an den von Ihnen registrierten Dienst gebunden und werden als zweiter Faktor bei der Anmeldung verwendet.
4. Backup der Schlüssel. Die meisten Dienste bieten backup Optionen für den geheimen Schlüssel für den Fall, dass Sie den Zugriff auf Ihr Gerät verlieren. Speichern Sie diese backup für die zukünftige Verwendung sicher aufbewahren.

Was sind die Vorteile von TOTP?

TOTP bietet mehrere wichtige Vorteile, die die Sicherheit und Benutzerfreundlichkeit von Authentifizierungssystemen verbessern. Hier sind die Vorteile dieser Technologie:

• Verbesserte Sicherheit. TOTP fügt eine zweite Schutzebene über Passwörter hinaus hinzu und reduziert das Risiko eines unbefugten Zugriffs erheblich, selbst wenn ein Passwort kompromittiert ist.
• Zeitkritische Codes. Die kurze Gültigkeitsdauer von TOTP-Codes gewährleistet, dass sie schnell ablaufen, wodurch Risiken wie Replay-Angriffe oder Abfangen verringert werden.
• Komfort und Zugänglichkeit. TOTP wird umfassend unterstützt und es stehen viele kostenlose und benutzerfreundliche Apps zum Generieren von Codes zur Verfügung, sodass die Verwendung bei verschiedenen Diensten problemlos möglich ist.
• Offline-Funktionalität. TOTP erfordert zum Generieren von Codes keine Internetverbindung und ist daher auch in Szenarien zuverlässig, in denen keine Konnektivität verfügbar ist.
• Offene Standards. Basierend auf offenen Standards gewährleistet TOTP die Kompatibilität zwischen zahlreichen Plattformen und Diensten und vermeidet Lieferantenbindung und Bereitstellen flexFähigkeit.

Was sind die Nachteile von TOTP?

Obwohl TOTP die Sicherheit erhöht, hat es auch einige Nachteile:

• Vertrauen auf gemeinsame Geheimnisse. TOTP basiert auf einem gemeinsamen geheimen Schlüssel, der auf dem Gerät des Benutzers gespeichert ist und verloren gehen, gestohlen oder kompromittiert werden kann.
• Probleme mit der Zeitsynchronisierung. Wenn die Systemzeit auf dem Gerät des Benutzers oder des Dienstanbieters server nicht synchronisiert ist, können Authentifizierungsfehler auftreten.
• Komplexe Einrichtung für einige Benutzer. Der Einrichtungsvorgang kann für weniger technisch versierte Benutzer eine Herausforderung darstellen und möglicherweise zu Fehlern oder unsachgemäßer backup Praktiken.
• Herausforderungen bei der Wiederherstellung. Ohne ein backup des geheimen Schlüssels kann die Wiederherstellung des Zugriffs auf Konten schwierig sein, wenn der Benutzer den Zugriff auf seine TOTP-App verliert.
• Geräteabhängigkeit. TOTP basiert auf einem physischen Gerät, beispielsweise einem Smartphone, und birgt Risiken wie Beschädigung, Diebstahl oder Nichtverfügbarkeit in kritischen Situationen.

Funktioniert TOTP online?

Ja, TOTP funktioniert online im Rahmen der Überprüfung des Benutzerzugriffs auf Onlinedienste, aber die TOTP-Generierung selbst erfolgt offline. Ein TOTP-Code wird auf Ihrem Gerät (über eine App wie Google Authenticator) mithilfe eines gemeinsamen geheimen Schlüssels und der aktuellen Uhrzeit generiert, ohne dass eine Internetverbindung erforderlich ist. Wenn Sie den TOTP-Code zur Authentifizierung in einen Onlinedienst eingeben, überprüft der Dienst ihn, indem er den erwarteten Code basierend auf demselben geheimen Schlüssel und derselben Uhrzeit unabhängig berechnet. Dies bedeutet, dass der Prozess der TOTP-Generierung offline ist, seine Überprüfung jedoch normalerweise während einer Online-Interaktion mit dem Dienst erfolgt.

Wie sicher ist TOTP?

TOTP gilt bei korrekter Implementierung als äußerst sichere Authentifizierungsmethode. Die Sicherheit hängt jedoch davon ab, wie gut der gemeinsame geheime Schlüssel und das Gerät des Benutzers geschützt sind. Die einzigartigen, zeitkritischen Codes, die von TOTP generiert werden, sind aufgrund ihrer Abhängigkeit von kryptografischen Algorithmen und kurze Gültigkeitsdauern, wodurch es sehr resistent gegen Replay-Angriffe ist und Phishing Versuche.

Die Sicherheit kann jedoch gefährdet sein, wenn der gemeinsame geheime Schlüssel offengelegt wird, beispielsweise durch Gerätediebstahl, Malware oder unzureichende backup Praktiken. Wenn das zum Generieren von TOTPs verwendete Gerät kompromittiert wird, könnte ein Angreifer möglicherweise auf die Codes zugreifen. Um die Sicherheit zu gewährleisten, sollten Benutzer das gemeinsame Geheimnis sicher speichern, strenge Sicherheitspraktiken auf ihren Geräten anwenden und aktivieren backups zur Kontowiederherstellung. In Kombination mit einem starken Hauptkennwort bietet TOTP einen robusten Schutz vor unbefugtem Zugriff.