Suchen

Definition Time-based One-time Password Algorithmus (TOTP) Was ist TOTP?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Der Time-based One-time Password Algorithmus erzeugt zeitlich begrenzt gültige, nur einmalig nutzbare Passwörter. Der Algorithmus lässt sich für eine sichere Zwei-Faktor-Authentifizierung per App oder Token einsetzen. Entwickelt wurde TOTP von der Initiative For Open Authentication (OATH).

Der Time-based One-time Password Algorithmus (TOTP) generiert zeitlich begrenzt gültige Passwörter, zum Beispiel für die sichere Zwei-Faktor-Authentifizierung.
Der Time-based One-time Password Algorithmus (TOTP) generiert zeitlich begrenzt gültige Passwörter, zum Beispiel für die sichere Zwei-Faktor-Authentifizierung.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung TOTP steht für Time-based One-time Password Algorithmus. Es handelt sich um ein Verfahren, das zeitlich begrenzt gültige, nur einmal nutzbare Passwörter zur Anmeldung an einem System generiert. Im Gegensatz zum HOTP (HMAC-based One-time Password) arbeitet das Verfahren zeit- und nicht ereignisgesteuert. Zudem existiert kein Validierungsfenster mit mehreren gleichzeitig gültigen Passwörtern. Die Initiative For Open Authentication (OATH) hat das Verfahren entwickelt. Standardisiert ist es im 2011 veröffentlichten RFC 6238. Häufig kommen TOTP-Passwörter im Rahmen der Zwei-Faktor-Authentifizierung zusammen mit Apps oder Tokens zur Generierung der Passwörter zum Einsatz. Erlangen Unbefugte Kenntnis eines TOTP-Passworts, ist es für sie kaum nutzbar, da es bereits nach wenigen Sekunden seine Gültigkeit verliert.

Funktionsweise des Time-based One-time Password Algorithmus

Der Time-based One-time Password Algorithmus verwendet den Keyed-Hash Message Authentication Code (HMAC) zur Berechnung der zeitabhängigen Passwörter. Für die Erzeugung ist ein zwischen dem Nutzer und dem System, an dem er sich anmelden möchte, vereinbarter geheimer Schlüssel und eine zwischen Anwender und System synchronisierte Zeitinformation notwendig. Als Zeitinformation dient die Unixzeit, die die Sekunden seit dem 1. Januar 1970 00:00 Uhr UTC zählt. Die Sekundenzahl wird auf 30 Sekunden gerundet. Aus dieser gerundeten Zahl und dem geheimen Schlüssel erzeugt der Algorithmus einen Hashwert. Er wird auf eine bestimmte Bitlänge gekürzt und mithilfe einer Modulo-Operation als sechs- oder achtstellige Dezimalzahl dargestellt. Da die Berechnung beim Nutzer und beim System aufgrund der synchronen Zeitinformation den gleichen Wert liefert, funktioniert die Authentifizierung. Stehen keine hinreichend synchronisierten und genauen Zeitinformationen zur Verfügung, schlägt die Authentifizierung fehl.

Abgrenzung zwischen HOTP und TOTP

Neben TOTP existiert mit dem sogenannten HMAC-based One-time Password (HOTP) ein weiteres Verfahren zur Generierung von Einmalpasswörtern. HOTP arbeitet nicht zeit-, sondern ereignisgesteuert. Zur Erzeugung des Einmalpassworts kommt neben dem geheimen Schlüssel nicht der gerundete Sekundenwert, sondern ein ereignisgesteuerter Zähler zum Einsatz. Der Zähler wird für die Generierung jedes neuen Passworts um eins erhöht. Auf dem Server erhöht sich der Zähler nach jeder erfolgreichen Authentifizierung ebenfalls. Da bei diesem Verfahren die Zähler auseinander laufen können und meist keine ständige Synchronisation des Zählers möglich ist, akzeptieren die Server in der Regel eine größer Anzahl an Einmalpasswörtern. Dies wird als Validierungsfenster bezeichnet. Erst wenn sich das Einmalpasswort außerhalb des Fensters befindet, schlägt die Authentifizierung fehl und es muss eine neue Synchronisation zwischen dem Token des Anwenders und dem Server stattfinden. Da bei TOTP immer nur ein einziges Passwort für circa 30 Sekunden gültig ist, gilt das Verfahren im Vergleich zu HOTP als sicherer.

Nutzung des Time-based One-time Password Algorithmus für die Zwei-Faktor-Authentifizierung

TOTP wird häufig verwendet, um im Rahmen einer Zwei-Faktor-Authentifizierung ein weiteres Authentifizierungsmerkmal zu erzeugen. Die Generierung erfolgt mit einem speziellen Hardware-Token oder einer App auf dem Smartphone des Anwenders. Das zeitabhängige Einmalpasswort ist als zweiter Faktor dank TOTP nur für eine begrenzte Zeit nutzbar. Da Unbefugte kaum in Besitz eines Einmalpassworts kommen können und es nur kurze Zeit gültig ist, gilt die Zwei-Faktor-Authentifizierung per TOTP als ausgesprochen sicher. Der geheime Schlüssel zur Erzeugung der Passwörter darf Unbefugten jedoch nicht bekannt werden.

(ID:46193523)

Über den Autor