Definition Einmalkennwort

Was ist ein One-Time Password (OTP)?

| Autor / Redakteur: Tutanch / Peter Schmitz

One-Time Passwort ist ein einmalig gültiges Kennwort. Ein Einmalpasswort gibt als Liste oder wird per App oder Hardware-Token erstellt.
One-Time Passwort ist ein einmalig gültiges Kennwort. Ein Einmalpasswort gibt als Liste oder wird per App oder Hardware-Token erstellt. (Bild: Pixabay / CC0)

Bei einem One-Time Password (zu Deutsch Einmalpasswort oder Einmalkennwort) handelt es sich um ein einmal gültiges Passwort, das sich für die Authentifizierung oder für Transaktionen verwenden lässt. Das One-Time Password kann dynamisch generiert oder einer zuvor erstellen Liste von statischen Einmalkennwörtern entnommen werden.

Das One-Time Passwort ist ein einmalig gültiges Kennwort. Deutsche Begriffe sind Einmalpasswort oder Einmalkennwort. Eine gängige Abkürzung für das One-Time Passwort ist OTP, die aber nicht mit dem One-Time-Pad (ebenfalls Abkürzung OTP) der Einmalverschlüsselung verwechselt werden darf.

Ein Einmalkennwort besteht aus einer alphanumerischen Zeichenfolge und lässt sich für die sichere Authentifizierung oder für Transaktionen einsetzen. Hat eine Anmeldung oder eine Transaktion mit einem OTP stattgefunden, verliert des Kennwort seine Gültigkeit und ist für weitere Aktionen nicht mehr verwendbar. Mit einem Einmalkennwort lassen sich Anmeldeverfahren mit Passwörtern absichern. Entwendete oder mitgelesene Passwörter sind nur einmalig nutzbar. Die Kombination eines Einmalkennworts mit einer zusätzlichen PIN sorgt für noch mehr Passwortsicherheit. Für die Bereitstellung von Einmalpasswörtern existieren verschiedene Verfahren. Sie können einer zuvor erstellten Liste von statischen Einmalkennwörtern entnommen oder dynamisch bei Bedarf generiert werden.

Verfahren zur Generierung eines Einmalkennworts

Für das Anmelden mit einem One-Time Password ist es erforderlich, dass User und System das jeweils gültige und zu verwendende Passwort kennen. Es lassen sich zwei Verfahren einsetzen, um dies zu erreichen: das Erstellen von Kennwortlisten und die dynamische Kennwortgenerierung. Bei den Kennwortlisten sind mehrere Kennwörter auf User- und Systemseite hinterlegt. Diese lassen sich frei wählbar oder in einer bestimmten Reihenfolge einsetzen. Wurde ein Passwort benutzt, streichen es beide Seiten von ihren Listen. Sind alle Passwörter verbraucht, ist eine neue Passwortliste zu erstellen. Ein Beispiel für diese Art von Einmalkennwörtern ist die TAN-Liste für das Online-Banking. Geht eine Kennwortliste verloren, kann ein Unbefugter in Besitz von gültigen Passwörtern gelangen. Sicherer sind daher Verfahren, die Einmalkennwörter dynamisch bei Bedarf generieren und mit anderen Indentifizierungsmerkmalen kombinieren. Das dynamische Generieren ist auf drei Arten möglich:

  • auf Anforderung des Servers
  • zeitgesteuert
  • ereignisgesteuert

Bei der zeitgesteuerten Generierung erzeugen ein OTP-Generator und der Server zeitlich synchronisiert Passwörter nach gleichem Algorithmus. Die Passwörter sind für einen bestimmten Zeitraum gültig und beiden Seiten bekannt.

Die ereignisgesteuerte Generierung erzeugt das Passwort zum Beispiel durch eine Aktion wie das Drücken einer Taste auf dem OTP-Generator. Das neue Passwort entsteht aus einer Berechnung des zuvor gültigen Passworts und kann dadurch vom Server überprüft werden.

Bei der Generierung durch Anforderung des Servers gibt der Server dem Client einen Wert vor, aus dem sich durch einen bestimmten Algorithmus das Einmalkennwort erzeugen lässt. Der Server kennt den vorgegebenen Wert und den Algorithmus und ist in der Lage, das erzeugte Kennwort zu überprüfen.

OTP-Token

OTP-Token sind kleine Hardwaregeräte zur Erzeugung von Einmalkennwörtern. Sie werden auch Kennwort-Generatoren genannt und können die Form eine Scheckkarte oder einer kleinen Box haben. Die Generatoren sind in der Regel mit einem einzeiligen Display ausgestattet. Je nach Verfahren der OTP-Generierung erzeugen sie in bestimmten Abständen oder nach dem Druck auf eine Taste ein neues Kennwort und zeigen es im Display an. Das Kennwort ist für den Authentifizierungsvorgang oder die Transaktion nutzbar und muss bei der Mehrfaktor-Authentifizierung gemeinsam mit einer User-ID oder einer PIN eingegeben werden. Kennwortgeneratoren können auch in Software realisiert sein und als App auf einem Smartphone eingesetzt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

2FA für Windows Desktop und Terminalserver

privacyIDEA Credential Provider 2.5

2FA für Windows Desktop und Terminalserver

Mit dem privacyIDEA Credential Provider und dem privacyIDEA Backend können Unternehmen problemlos eine Zwei-Faktor-Authentifizierung auf Windows Desktops oder Terminalservern ausrollen. In der neuen Version 2.5 des privacyIDEA Credential Providers können sich Benutzer jetzt auch per Einmalcode aus einer E-Mail oder SMS authentisieren. lesen

Was ist ein One-Time-Pad (OTP)?

Definition One-Time-Pad (OTP)

Was ist ein One-Time-Pad (OTP)?

Bei One-Time-Pad (OTP) handelt es sich um ein symmetrisches Verschlüsselungsverfahren, bei dem der Schlüssel nur einmalig für die Verschlüsselung einer einzigen Nachricht zum Einsatz kommt. Der Schlüssel hat mindestens die gleiche Länge wie die Nachricht selbst. Das Verfahren gilt als sehr sicher. lesen

Sicherheit nach Zwiebelschalen-Prinzip

[Gesponsert]

Hochsicherheitsbereich Endpoint: Mit System gegen Cybercrime

Sicherheit nach Zwiebelschalen-Prinzip

Endpoints galten lange als das Lieblings-Einfallstor von Cyberkriminellen. Die Zeiten scheinen vorbei. Moderne Administratoren sichern ihre Rechner mit einem mehrstufigen Sicherheitssystem ab. lesen

Yubikey als zweiter Faktor für das iPhone

2FA mit Yubikey für iOS

Yubikey als zweiter Faktor für das iPhone

Yubico, Anbieter hardwarebasierter Authentifizierungslösungen, hat ein SDK für iOS vorgestellt, mit dem Mobile-App-Entwickler die Zwei-Faktor-Authentifizierung (2FA) mit dem YubiKey NEO und NFC (Nahfeldkommunikation) in ihre iOS-Anwendungen integrieren können. Die erste App, die die neuen Funktionen nutzt, ist der Passwort-Manager LastPass. lesen

5 Tipps für die Wahl einer Authentifizierungslösung

Multi-Faktor-Authentifizierung

5 Tipps für die Wahl einer Authentifizierungslösung

Die Kombination aus Benutzername und Passwort ist längst nicht mehr ausreichend, wenn es um die sichere Anmeldung im IT-Netzwerk geht. Um das Sicherheitsniveau zu erhöhen und Angreifern die Nutzung gestohlener Zugangsdaten zu erschweren, raten Experten zur Multi-Faktor-Authentifizierung. Doch worauf sollten Unternehmen vor der Anschaffung einer solchen Lösung achten? lesen

Automatische Identitäts- und Zugriffskontrolle im Netzwerk

Ausweiskontrolle im Unternehmensnetz

Automatische Identitäts- und Zugriffskontrolle im Netzwerk

Wissen Sie, wer Ihr Gast-WLAN nutzt und wer sich hinter Ihrer Firewall tummelt? Und kann Ihre IT-Infrastruktur infizierte Clients automatisch in Quarantäne schicken? Nein? Dann ist es Zeit für ein System zur Identitäts- und Zugriffskontrolle. Entsprechende Lösungen sind ohne großen Aufwand zu administrieren und schnell am Start. Was können die Lösungen noch? lesen

Eigene Daten, eigene Cloud, eigene Identität

Anbindung von ownCloud an privacyIDEA

Eigene Daten, eigene Cloud, eigene Identität

Heutzutage erwarten Anwender zurecht, dass ihre Informationen und Daten überall verfügbar sind. Es gibt zahllose Anbieter, die mit proprietären Lösungen zur Synchronisation von Daten in der Cloud den Anwendern ein einfaches Leben versprechen. Doch ist dieses Leben auch sicher? Der Anwender kann seine Daten überall nutzen, doch hat er auch die Kontrolle über diese Daten? Kann er zuverlässig definieren, wer seine Urlaubsfotos sehen kann? Kann er sicher sein, dass keine unberechtigten Personen Zugriff auf Firmengeheimnisse wie die neusten Konstruktionsdaten erhalten? Nein, denn auch der Anbieter eines Cloud-Dienstes kann diese Daten, ohne dass der Anwender es bemerkt, beliebig kopieren. lesen

Alternativen zum Passwort

Neue Ideen zur Zugangskontrolle

Alternativen zum Passwort

Nachlässigkeit bei der Passwortwahl hat schon fast Tradition in vielen Unternehmen. Die lange Historie des Problems führt leider nicht dazu, dass sich Passwort-Alternativen schnell durchsetzen würden. Pfiffige Lösungen sind gefragt, die es Anwendern einfach machen und die trotzdem für Unternehmen auch managebar bleiben. lesen

Übergang zur agilen, Cloud-basierten Infrastruktur

Case Study – Rémy Cointreau

Übergang zur agilen, Cloud-basierten Infrastruktur

Um aus seinem neuen Arbeitgeber Remy Cointreau eine agilere Firma zu machen, legte CTO Sébastien Huet Wert auf eine flexible IT-Infrastruktur. Die Cloud spielte dabei eine wesentliche Rolle, wie diese Case Study zeigt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45389696 / Definitionen)