Suchen

Definition Einmalkennwort Was ist ein One-Time Password (OTP)?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei einem One-Time Password (zu Deutsch Einmalpasswort oder Einmalkennwort) handelt es sich um ein einmal gültiges Passwort, das sich für die Authentifizierung oder für Transaktionen verwenden lässt. Das One-Time Password kann dynamisch generiert oder einer zuvor erstellen Liste von statischen Einmalkennwörtern entnommen werden.

One-Time Passwort ist ein einmalig gültiges Kennwort. Ein Einmalpasswort gibt als Liste oder wird per App oder Hardware-Token erstellt.
One-Time Passwort ist ein einmalig gültiges Kennwort. Ein Einmalpasswort gibt als Liste oder wird per App oder Hardware-Token erstellt.
(Bild: Pixabay / CC0 )

Das One-Time Passwort ist ein einmalig gültiges Kennwort. Deutsche Begriffe sind Einmalpasswort oder Einmalkennwort. Eine gängige Abkürzung für das One-Time Passwort ist OTP, die aber nicht mit dem One-Time-Pad (ebenfalls Abkürzung OTP) der Einmalverschlüsselung verwechselt werden darf.

Ein Einmalkennwort besteht aus einer alphanumerischen Zeichenfolge und lässt sich für die sichere Authentifizierung oder für Transaktionen einsetzen. Hat eine Anmeldung oder eine Transaktion mit einem OTP stattgefunden, verliert des Kennwort seine Gültigkeit und ist für weitere Aktionen nicht mehr verwendbar. Mit einem Einmalkennwort lassen sich Anmeldeverfahren mit Passwörtern absichern. Entwendete oder mitgelesene Passwörter sind nur einmalig nutzbar. Die Kombination eines Einmalkennworts mit einer zusätzlichen PIN sorgt für noch mehr Passwortsicherheit. Für die Bereitstellung von Einmalpasswörtern existieren verschiedene Verfahren. Sie können einer zuvor erstellten Liste von statischen Einmalkennwörtern entnommen oder dynamisch bei Bedarf generiert werden.

Verfahren zur Generierung eines Einmalkennworts

Für das Anmelden mit einem One-Time Password ist es erforderlich, dass User und System das jeweils gültige und zu verwendende Passwort kennen. Es lassen sich zwei Verfahren einsetzen, um dies zu erreichen: das Erstellen von Kennwortlisten und die dynamische Kennwortgenerierung. Bei den Kennwortlisten sind mehrere Kennwörter auf User- und Systemseite hinterlegt. Diese lassen sich frei wählbar oder in einer bestimmten Reihenfolge einsetzen. Wurde ein Passwort benutzt, streichen es beide Seiten von ihren Listen. Sind alle Passwörter verbraucht, ist eine neue Passwortliste zu erstellen. Ein Beispiel für diese Art von Einmalkennwörtern ist die TAN-Liste für das Online-Banking. Geht eine Kennwortliste verloren, kann ein Unbefugter in Besitz von gültigen Passwörtern gelangen. Sicherer sind daher Verfahren, die Einmalkennwörter dynamisch bei Bedarf generieren und mit anderen Indentifizierungsmerkmalen kombinieren. Das dynamische Generieren ist auf drei Arten möglich:

  • auf Anforderung des Servers
  • zeitgesteuert
  • ereignisgesteuert

Bei der zeitgesteuerten Generierung erzeugen ein OTP-Generator und der Server zeitlich synchronisiert Passwörter nach gleichem Algorithmus. Die Passwörter sind für einen bestimmten Zeitraum gültig und beiden Seiten bekannt.

Die ereignisgesteuerte Generierung erzeugt das Passwort zum Beispiel durch eine Aktion wie das Drücken einer Taste auf dem OTP-Generator. Das neue Passwort entsteht aus einer Berechnung des zuvor gültigen Passworts und kann dadurch vom Server überprüft werden.

Bei der Generierung durch Anforderung des Servers gibt der Server dem Client einen Wert vor, aus dem sich durch einen bestimmten Algorithmus das Einmalkennwort erzeugen lässt. Der Server kennt den vorgegebenen Wert und den Algorithmus und ist in der Lage, das erzeugte Kennwort zu überprüfen.

OTP-Token

OTP-Token sind kleine Hardwaregeräte zur Erzeugung von Einmalkennwörtern. Sie werden auch Kennwort-Generatoren genannt und können die Form eine Scheckkarte oder einer kleinen Box haben. Die Generatoren sind in der Regel mit einem einzeiligen Display ausgestattet. Je nach Verfahren der OTP-Generierung erzeugen sie in bestimmten Abständen oder nach dem Druck auf eine Taste ein neues Kennwort und zeigen es im Display an. Das Kennwort ist für den Authentifizierungsvorgang oder die Transaktion nutzbar und muss bei der Mehrfaktor-Authentifizierung gemeinsam mit einer User-ID oder einer PIN eingegeben werden. Kennwortgeneratoren können auch in Software realisiert sein und als App auf einem Smartphone eingesetzt werden.

(ID:45389696)

Über den Autor