Was ist ein OTP (One-Time-Password)?
Ein OTP (One-Time-Password, deutsch „Einmalpasswort“) ist ein für die einmalige Verwendung generiertes Passwort. Der Begriff ist vom Verschlüsselungsverfahren One-Time-Pad abzugrenzen, das ebenfalls mit OTP abgekürzt wird. Die Technologie zur Generierung von Passwörtern ist unter anderem zum sicheren Anmelden bei Webseiten und Durchführen von Transaktionen im Einsatz. Entsprechende Webseiten fragen dann in der Regel erst Benutzernamen und Kennwort ab, und anschließend zusätzlich das OTP. Das generierte Passwort gilt für die eine Sitzung und ist sicherer, als ein statisches Passwort. Besonders von Anwendern kreierte Passwörter sind in vielen Fällen schwach und bestehen aus unzureichend vielen Zeichen. Webseitenbetreiber können OTP als Ersatz oder besser als Zusatz zur Authentifizierung einsetzen.
Wie werden die OTPs geniert?
Das Generieren solch eines OTPs für das Online-Banking wird häufig mithilfe eines OTP-Tokens durchgeführt, dabei handelt es sich um ein kleines Gerät mit einer digitalen Anzeige. Das Gerät erstellt auf Knopfdruck ein OTP. Die Zeichen ändern sich je nach Gerät alle 30 oder 60 Sekunden. Im Rahmen einer Zwei-Faktor-Authentifizierung gibt der Anwender erst ID und PIN und anschließend das OTP ein. Alternativ zum Gebrauch eines OTP-Tokens kann die Passwortgenerierung eine App für das Smartphone übernehmen. Der Google Authenticator ist solch eine App und ermöglicht die OTP-Verwaltung für zahlreiche Webseiten.
Damit das System funktioniert, müssen beide Seiten wissen, welches Kennwort gültig ist. Dies stellen die Systeme mit Kennwortlisten oder Kennwortgeneratoren sicher. Im ersten Fall werden Kennwortlisten auf beiden Systemen hinterlegt und abgefragt. Das TAN-Verfahren beim Online-Banking nutzt solch eine Kennwortliste. Wird die Kennwortliste verloren, ist das System nicht mehr geschützt. Kennwortgeneratoren generieren unter Verwendung eines speziellen Algorithmus ein zum aktuellen Zeitpunkt gültiges Kennwort. Dafür gibt es zeit-, ereignis- und Challenge-Response-gesteuerte Generatoren.
Wie sicher ist ein OTP?
Jede Anmeldung erfordert ein neu generiertes Passwort. Dadurch ist das OTP sicherer als ein statisches Passwort. Der Anwender profitiert von einem besseren Schutz vor passiven Angriffen (mithören) und Replay-Attacken. Allerdings schützen OTPs nicht vor Man-in-the-Middle-Angriffen. Ebenso verbessert das OTP nicht die Sicherheit einer bestimmten Verschlüsselungsmethode.