Definition Time-based One-time Password Algorithmus (TOTP)

Was ist TOTP?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der Time-based One-time Password Algorithmus (TOTP) generiert zeitlich begrenzt gültige Passwörter, zum Beispiel für die sichere Zwei-Faktor-Authentifizierung.
Der Time-based One-time Password Algorithmus (TOTP) generiert zeitlich begrenzt gültige Passwörter, zum Beispiel für die sichere Zwei-Faktor-Authentifizierung. (Bild: gemeinfrei / Pixabay)

Der Time-based One-time Password Algorithmus erzeugt zeitlich begrenzt gültige, nur einmalig nutzbare Passwörter. Der Algorithmus lässt sich für eine sichere Zwei-Faktor-Authentifizierung per App oder Token einsetzen. Entwickelt wurde TOTP von der Initiative For Open Authentication (OATH).

Die Abkürzung TOTP steht für Time-based One-time Password Algorithmus. Es handelt sich um ein Verfahren, das zeitlich begrenzt gültige, nur einmal nutzbare Passwörter zur Anmeldung an einem System generiert. Im Gegensatz zum HOTP (HMAC-based One-time Password) arbeitet das Verfahren zeit- und nicht ereignisgesteuert. Zudem existiert kein Validierungsfenster mit mehreren gleichzeitig gültigen Passwörtern. Die Initiative For Open Authentication (OATH) hat das Verfahren entwickelt. Standardisiert ist es im 2011 veröffentlichten RFC 6238. Häufig kommen TOTP-Passwörter im Rahmen der Zwei-Faktor-Authentifizierung zusammen mit Apps oder Tokens zur Generierung der Passwörter zum Einsatz. Erlangen Unbefugte Kenntnis eines TOTP-Passworts, ist es für sie kaum nutzbar, da es bereits nach wenigen Sekunden seine Gültigkeit verliert.

Funktionsweise des Time-based One-time Password Algorithmus

Der Time-based One-time Password Algorithmus verwendet den Keyed-Hash Message Authentication Code (HMAC) zur Berechnung der zeitabhängigen Passwörter. Für die Erzeugung ist ein zwischen dem Nutzer und dem System, an dem er sich anmelden möchte, vereinbarter geheimer Schlüssel und eine zwischen Anwender und System synchronisierte Zeitinformation notwendig. Als Zeitinformation dient die Unixzeit, die die Sekunden seit dem 1. Januar 1970 00:00 Uhr UTC zählt. Die Sekundenzahl wird auf 30 Sekunden gerundet. Aus dieser gerundeten Zahl und dem geheimen Schlüssel erzeugt der Algorithmus einen Hashwert. Er wird auf eine bestimmte Bitlänge gekürzt und mithilfe einer Modulo-Operation als sechs- oder achtstellige Dezimalzahl dargestellt. Da die Berechnung beim Nutzer und beim System aufgrund der synchronen Zeitinformation den gleichen Wert liefert, funktioniert die Authentifizierung. Stehen keine hinreichend synchronisierten und genauen Zeitinformationen zur Verfügung, schlägt die Authentifizierung fehl.

Abgrenzung zwischen HOTP und TOTP

Neben TOTP existiert mit dem sogenannten HMAC-based One-time Password (HOTP) ein weiteres Verfahren zur Generierung von Einmalpasswörtern. HOTP arbeitet nicht zeit-, sondern ereignisgesteuert. Zur Erzeugung des Einmalpassworts kommt neben dem geheimen Schlüssel nicht der gerundete Sekundenwert, sondern ein ereignisgesteuerter Zähler zum Einsatz. Der Zähler wird für die Generierung jedes neuen Passworts um eins erhöht. Auf dem Server erhöht sich der Zähler nach jeder erfolgreichen Authentifizierung ebenfalls. Da bei diesem Verfahren die Zähler auseinander laufen können und meist keine ständige Synchronisation des Zählers möglich ist, akzeptieren die Server in der Regel eine größer Anzahl an Einmalpasswörtern. Dies wird als Validierungsfenster bezeichnet. Erst wenn sich das Einmalpasswort außerhalb des Fensters befindet, schlägt die Authentifizierung fehl und es muss eine neue Synchronisation zwischen dem Token des Anwenders und dem Server stattfinden. Da bei TOTP immer nur ein einziges Passwort für circa 30 Sekunden gültig ist, gilt das Verfahren im Vergleich zu HOTP als sicherer.

Nutzung des Time-based One-time Password Algorithmus für die Zwei-Faktor-Authentifizierung

TOTP wird häufig verwendet, um im Rahmen einer Zwei-Faktor-Authentifizierung ein weiteres Authentifizierungsmerkmal zu erzeugen. Die Generierung erfolgt mit einem speziellen Hardware-Token oder einer App auf dem Smartphone des Anwenders. Das zeitabhängige Einmalpasswort ist als zweiter Faktor dank TOTP nur für eine begrenzte Zeit nutzbar. Da Unbefugte kaum in Besitz eines Einmalpassworts kommen können und es nur kurze Zeit gültig ist, gilt die Zwei-Faktor-Authentifizierung per TOTP als ausgesprochen sicher. Der geheime Schlüssel zur Erzeugung der Passwörter darf Unbefugten jedoch nicht bekannt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So funktioniert 2FA per TOTP mit WEB.DE

Zwei-Faktor-Authentifizierung Schritt für Schritt

So funktioniert 2FA per TOTP mit WEB.DE

Mit WEB.DE bietet nun eine weitere Marke von United Internet die Zwei-Faktor-Authentifizierung (2FA) für Mailkonten an. Wir haben die zusätzliche Sicherheitsoption ausprobiert und unser eigenes Time based One Time Password (TOTP) erstellt. lesen

Im Podcast-Studio mit dem Chefredakteur

Monatsrückblick Juni 2019

Im Podcast-Studio mit dem Chefredakteur

Jetzt gibt es was auf die Ohren! Diesmal haben wir die wichtigsten Meldungen des Vormonats nicht nur zusammengefasst, sondern auch eingehend besprochen – nachzuhören im brandneuen Security-Insider Podcast. lesen

GMX startet Zwei-Faktor-Authentifizierung

So sichern Sie Ihr E-Mail-Konto per TOTP und Smartphone-App

GMX startet Zwei-Faktor-Authentifizierung

Der zu United Internet gehörende E-Mail-Anbieter GMX führt eine Zwei-Faktor-Authentifizierung (2FA) ein. Wir haben die zusätzliche Sicherheitsoption ausprobiert. lesen

Flexiblere Zwei-Faktor-Authentifizierung an VPNs

privacyIDEA 2.22

Flexiblere Zwei-Faktor-Authentifizierung an VPNs

Die neue Version 2.22 der Open-Source-Authentifizierungslösung privacyIDEA kann Informationen flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückliefern als bisher. Administratoren können außerdem spezifische Rückgabe-Werte zu definieren. Zudem unterstützt privacyIDEA 2.22 proprietäre VASCO-Token, bietet einen Counter Handler und weitere Erweiterungen. lesen

Eigene Daten, eigene Cloud, eigene Identität

Anbindung von ownCloud an privacyIDEA

Eigene Daten, eigene Cloud, eigene Identität

Heutzutage erwarten Anwender zurecht, dass ihre Informationen und Daten überall verfügbar sind. Es gibt zahllose Anbieter, die mit proprietären Lösungen zur Synchronisation von Daten in der Cloud den Anwendern ein einfaches Leben versprechen. Doch ist dieses Leben auch sicher? Der Anwender kann seine Daten überall nutzen, doch hat er auch die Kontrolle über diese Daten? Kann er zuverlässig definieren, wer seine Urlaubsfotos sehen kann? Kann er sicher sein, dass keine unberechtigten Personen Zugriff auf Firmengeheimnisse wie die neusten Konstruktionsdaten erhalten? Nein, denn auch der Anbieter eines Cloud-Dienstes kann diese Daten, ohne dass der Anwender es bemerkt, beliebig kopieren. lesen

Zwei-Faktor-Authentifizierung mit privacyIDEA

Open-Source

Zwei-Faktor-Authentifizierung mit privacyIDEA

Obwohl Zwei-Faktor-Authentifizierung oft aus der Cloud kommt, besteht die Gefahr, sich an einen Anbieter oder eine Technologie zu binden. Mit privacyIDEA, das in diesem Beitrag näher vorgestellt wird, behalten Unternehmen ihre Flexibilität. lesen

Open Source Authentifizierung jetzt schneller und sicherer

privacyIDEA 2.14

Open Source Authentifizierung jetzt schneller und sicherer

Das Open Source Mehr-Faktor-Authentifizierungssystem privacyIDEA ist in der Version 2.14 verfügbar. Das neue Release des privacyIDEA Authentication Systems bringt verbessertes Event-Handling und verschiedene Performance-Optimierungen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193523 / Definitionen)