Einmalpasswort oder ein OTP ist ein Passwort, das nur einmal gültig ist. OTPs können verwendet werden, um die Sicherheit zu erhöhen und eine starke Authentifizierung zu unterstützen. In diesem Artikel werden die Grundlagen von OTPs erläutert und wie sie implementiert werden können.
Heutzutage benötigen die meisten Unternehmensnetzwerke nur noch einen Benutzernamen und ein statisches Kennwort, um auf persönliche und sensible Daten zuzugreifen. Diese Art der Einzelfaktor-Authentifizierung ist sehr praktisch, in unserer modernen Welt jedoch nicht sehr sicher. Die meisten Menschen verstehen, dass sie für jedes Online-Konto eindeutige Kennwörter verwenden sollten. Dennoch verwenden 69% von uns trotzdem dasselbe Passwort.
Darüber hinaus verwenden 47% der Menschen ein Passwort, das älter als 5 Jahre ist und das am häufigsten verwendete Passwort ist ‚123456‘ – verwendet von erstaunlichen 17% der Menschen. Noch schlimmer ist, dass 95 Prozent der Menschen bis zu 6 Passwörter mit ihren Freunden teilen.
Selbst wenn Ihre Endbenutzer gut mit Passwörtern umgehen können (sie verwenden für jedes Online-Konto ein anderes sicheres Passwort und schreiben sie niemals irgendwo auf), können sie immer noch durch Keylogging-Malware oder Man-in-the-Middle-Angriffe kompromittiert werden. Wie schützen Sie sich und die wertvollsten Vermögenswerte Ihres Unternehmens vor schlechter Passworthygiene oder elektronischem Abhören? Eine Möglichkeit besteht darin, ein Einmalpasswort zu verwenden – ein Einweg-Passwort, das nur einmal gültig ist.
Was ist ein Einmalpasswort?
Einmalpasswörter sind Passwörter, die nur für eine Anmeldesitzung oder Transaktion gültig sind und daher Schutz vor verschiedenen passwortbasierten Angriffen bieten, insbesondere vor Passwortschnüffelangriffen und Wiederholungsangriffen. Typischerweise ist ein OTP eine Reihe von Zahlen oder Zeichen, die automatisch generiert werden.
Damit dieses System funktioniert, muss sich das Kennwort jedes Mal ändern, wenn es verwendet wird, aber es muss auch eine Art Synchronisation zwischen dem sich ständig ändernden Kennwort, dem verwendeten Computersystem oder der verwendeten Anwendung und dem Endbenutzer erfolgen. Diese Synchronisation muss auch ohne Übertragung von Daten über unsichere Methoden wie E-Mail erfolgen.
Wie werden Einmalpasswörter synchronisiert?
Einmalpasswörter können auf verschiedene Arten generiert werden, und jedes hat Kompromisse in Bezug auf Sicherheit, Komfort und Kosten.
Zeitsynchronisation
Ein Ansatz zur Generierung von Einmalpasswörtern ist die Verwendung der Zeitsynchronisation. Jeder Benutzer hat ein persönliches Token (das wie ein kleiner Taschenrechner oder ein Schlüsselbund aussehen kann) mit einem Display, das eine Zahl anzeigt, die sich gelegentlich ändert. Im Inneren des persönlichen Tokens befindet sich eine Uhr, die mit der Uhr auf dem proprietären Authentifizierungsserver synchronisiert wurde. Das Gerät und der Anwendungsserver generieren beide neue OTPs basierend auf einer numerischen Version der aktuellen Zeit.
Zeitsynchronisierte Passwörter müssen nicht immer perfekt übereinstimmen und normalerweise gibt es ein Fenster, in dem ältere oder neuere Passwörter akzeptiert werden. So wäre es beispielsweise ungewöhnlich, dass sich ein Kennwort jede Sekunde ändert, da der Endbenutzer nicht genügend Zeit hätte, das Kennwort einzugeben, bevor es ungültig wird.
Das Passwort selbst ist normalerweise ein Hash der aktuellen Zeit – z. B. 16.43 wird zu 1643, der dann durch einen Codegenerator und einen mathematischen Prozess namens Hash-Funktion (oder Hash-Code) ausgeführt wird, um einen eindeutigen 10-stelligen Code zu generieren, der das Einmalpasswort ist.
Die Zeit ist daher ein wichtiger Teil des Passwortalgorithmus, da die Generierung neuer Passwörter auf der ‚aktuellen Zeit‘ basiert. Wenn die Uhren zu weit aus dem Takt geraten, generiert das Token keine korrekten Kennwörter und muss zurückgesetzt werden. Um das Problem der verschiedenen Zeitzonen zu vermeiden, kann ein Unix-Zeitstempel verwendet werden, der eine koordinierte Weltzeit ist.
Lock-step
Bei der zweiten Methode beginnen das Computersystem und das Token mit derselben gemeinsam genutzten Nummer (Seed genannt). Jedes Mal, wenn ein neues Kennwort generiert wird, erhöht das Token-Gerät seinen eigenen internen Zähler, und jedes Mal, wenn Sie sich tatsächlich anmelden, erhöht der Server auch seinen Zähler.
Es ist möglich, aus dem Takt zu kommen, indem Passwörter generiert werden, die nicht verwendet werden, was dazu führt, dass der Zähler im Token mehr voranschreitet als der Zähler auf dem Anwendungsserver. Toleranz wird jedoch normalerweise so erstellt, dass die Dinge ein wenig nicht synchron sind, und der Server wird (normalerweise) automatisch neu synchronisiert, falls er nicht mehr Schritt hält.
Diese OTP-Technik wird als Lock-Step- oder Counter-Synchronisation bezeichnet, und obwohl proprietäre Hardware immer noch erforderlich ist, leidet sie nicht unter dem Nachteil, die Uhren rechtzeitig halten zu müssen.
Übertragungsbasiertes OTP
Der dritte Ansatz ist völlig anders. Anstatt dass zwei Geräte unabhängig voneinander für ihre eigenen Passwörter verantwortlich sind (die dann auf Gültigkeit verglichen werden), werden Passwörter vom Authentifizierungsserver zufällig generiert. Da dieses Passwort völlig zufällig ist, kann ein Token-Gerät nicht automatisch im Schritt bleiben, daher muss das OTP aktiv an den Endbenutzer kommuniziert werden.
Diese Arten von Einweg-Passwörtern werden oft als „SMS-OTP“ bezeichnet, da sie am häufigsten per SMS gesendet werden, aber sie können auch von einer App oder einem elektronischen Handgerät (Sicherheitstoken genannt) generiert oder in einigen Fällen sogar ausgedruckt und per Post gesendet werden. Wenn Sie sich authentifizieren möchten, sendet das System Ihr Passwort an Sie und Sie verwenden das Passwort, um sich anzumelden. Einer der großen Vorteile dieser Methode besteht darin, dass die Bereitstellung und Wartung proprietärer Hardware entfällt.
Wie werden Einmalpasswörter übertragen?
Einmalpasswörter können Endbenutzern auf verschiedene Arten mitgeteilt werden, und jedes hat Kompromisse in Bezug auf Sicherheit, Komfort und Kosten.
Einmalpasswort per SMS
Diese Methode erfordert einen zuverlässigen, qualitativ hochwertigen SMS-Dienst. Sobald der Benutzer während der Anmeldung den richtigen Benutzernamen und das richtige Passwort eingegeben hat, wird eine Textnachricht mit einem OTP ausgelöst, die an die im Benutzerkonto registrierte Handynummer gesendet wird. Der Benutzer schließt dann den Authentifizierungsprozess ab, indem er den in der SMS-Nachricht angezeigten Code in den Anmeldebildschirm der Anwendung eingibt. Endbenutzer haben normalerweise eine bestimmte Zeitspanne, bevor das Kennwort abläuft.
Einmalpasswort per Sprache
Eine Alternative zu SMS ist Sprache, die ein vorhandenes Festnetz- oder Mobiltelefon verwendet, um ein gesprochenes Passwort als Telefonanruf auf der Festnetz- oder Handynummer des Benutzers zu erhalten. Die Vorteile dieser Methode bestehen darin, dass Kennwörter nicht auf dem Telefon des Benutzers gespeichert werden und Sie Benutzer mit eingeschränkter Sicht erreichen können. Mit dieser Lösung sind jedoch Kosten pro Nutzung verbunden, und es ist eine bereits etablierte Festnetz- oder Mobiltelefonnummer erforderlich, um zu funktionieren.
Passwörter sind auch auf kurze Zeichenketten beschränkt, andernfalls wird die Übertragung des Passworts vom Anruf zum Anmeldebildschirm für den Benutzer schwierig oder erfordert mehrere Versuche, eine Übereinstimmung zu erhalten.
Einmalpasswort per E-Mail
Wenn ein E-Mail-Konto neben einem Benutzerkonto registriert ist, können Einmalpasswörter zur Authentifizierung während der Anmeldung an eine E-Mail-Adresse gesendet werden. E-Mail-Zustellung für Einmalpasswörter ist eine kostengünstige Option, jedoch können Sicherheit und Benutzerfreundlichkeit geopfert werden. E-Mail sollte nicht das Zentrum unseres digitalen Lebens sein, so wie es jetzt ist, also wurde es nicht mit Blick auf Sicherheit oder Datenschutz entworfen.
91% aller Cyberangriffe beginnen mit E-Mails, und es ist die am wenigsten sichere Methode für die Zwei-Faktor-Authentifizierung. Es hängt auch davon ab, dass Benutzer konsistenten Zugriff auf ein E-Mail-Konto haben. Benutzer können auch Anfragen zum Zurücksetzen des Kennworts und Zeitüberschreitungen erhalten, wenn sie versuchen, auf ihr E-Mail-Konto zuzugreifen, um Zugriff auf das OTP zu erhalten.
Einmalpasswort per Post
Ein E-Mail-basiertes System funktioniert im Wesentlichen genauso wie andere Messaging-Systeme, aber die Übermittlung des Passworts an den Endbenutzer dauert länger. Die Gültigkeit des Passworts wird daher verlängert, um Verzögerungen beim Versand zu ermöglichen. Einige Banken senden lange gedruckte Listen mit Einmalpasswörtern (Transaktionsauthentifizierungsnummern oder TANs genannt) an Organisationen, die sie im Geschäftsbanking verwenden können. Die Bank verfügt über eine übereinstimmende Liste von Passwörtern, die auf ihrem Computersystem gespeichert sind, und Passwörter müssen nacheinander verwendet werden, um eine Übereinstimmung sicherzustellen.
Listen und Zahlenraster bieten kostengünstige Lösungen für OTPs, sind jedoch langsam und nicht sehr benutzerfreundlich. Der Benutzer muss eine Liste von Passwörtern führen, die häufig nacheinander verwendet werden müssen, und wenn Ihre Passwortliste kopiert wird oder in die falschen Hände gerät, hat jemand alle Ihre Passwörter.
Einmalpasswort per Push-Benachrichtigung
Einmalpasswörter per Push ähneln SMS-basierten Einmalpasswörtern, diesmal wird das automatisch generierte Passwort jedoch als Push-Benachrichtigung an eine App auf dem Gerät des Benutzers gesendet. Sobald die Push-Benachrichtigung an die App gesendet wurde, kopiert der Benutzer den Code auf den Anmeldebildschirm, um seine Identität zu überprüfen. Push-Benachrichtigungen sind die kostengünstigste Lösung, da sie ein vorhandenes Gerät (z. B. das Mobilgerät des Benutzers) verwenden und keine Kosten für SMS-Nachrichten verursachen.
Es ist auch eine der sichersten Lösungen und benutzerfreundlich. Bei modernen Mobiltelefonen können Sie sogar einen dritten Authentifizierungsfaktor wie einen biometrischen Scan (z. B. Fingerabdruckscan) einbeziehen, um eine wirklich hohe Sicherheit zu gewährleisten. Die Nachteile sind auch ziemlich minimal – Push-Benachrichtigungen erfordern eine dedizierte App und der Anwendungszugriff unterliegt dem Verlust des Mobiltelefons.
Hybrides Einmalpasswort (das Beste aus beiden Welten)
Sie können die Stärken von SMS- und Push-Nachrichten kombinieren und ein Hybridsystem verwenden. Das Passwort wird zunächst per Push-Benachrichtigung gesendet, was schnell und kostengünstig ist, aber wenn Ihr Benutzer Ihre App nicht installiert hat oder offline ist, kann das Passwort per SMS gesendet werden. Sie können auch eine dritte Fallback-Option hinzufügen, bei der das Passwort per Sprache zugestellt wird, wenn Push und SMS aus irgendeinem Grund fehlgeschlagen sind.
Ihre Standardmethode zur Zustellung von Passwörtern kann die effektivste Methode sein, um Ihre Kosten niedrig zu halten, aber durch die Verwendung einer Hybridlösung stellen Sie sicher, dass Benutzer immer Zugriff auf Ihre App erhalten, was wiederum eine bessere App-Interaktion fördert.
Ein OTP kann große Sicherheit und starke Authentifizierung bieten.
Der durchschnittliche Geschäftsbenutzer hat 191 Passwörter und gibt durchschnittlich 8 verschiedene Passwörter pro Tag ein. In den meisten Fällen führt dies dazu, dass Ihre Endbenutzer entweder dieselben Passwörter für mehrere Konten verwenden, ihre Passwörter auf Post-It-Notizen aufschreiben oder Ihren IT-Helpdesk mit Anfragen zum Zurücksetzen von Passwörtern bombardieren – im Durchschnitt machen Anfragen zum Zurücksetzen von Passwörtern 10% -30% aller IT-Helpdesk-Anrufe aus.
Die Zwei-Faktor-Authentifizierung ist besonders wichtig, wenn es darum geht, Unternehmensdaten vor Cyberkriminalität und Betrug zu schützen. Der wichtigste Vorteil von OTPs besteht darin, dass sie im Gegensatz zu statischen Passwörtern nicht anfällig für Replay-Angriffe sind.
Die Zwei-Faktor-Authentifizierung (in Form von Einmalpasswörtern) härtet ein herkömmliches Benutzer-ID- und statisches Kennwortsystem aus, indem ein weiterer dynamischer Berechtigungsnachweis hinzugefügt wird. Selbst wenn Ihre Benutzer für jedes System dasselbe (oder ein ähnliches) Kennwort verwenden, wird Ihr System weniger anfällig, da es unwahrscheinlich ist, dass beide Sicherheitsebenen von einem Hacker kompromittiert werden.
Es gibt auch einen dritten verfügbaren Faktor, z. fingerabdrücke, Retina-Scan, Stimmabdruck, Gesichtserkennung usw., mit denen eine weitere Sicherheitsebene hinzugefügt werden kann. Es liegt auf der Hand, dass je mehr Faktoren für die Authentifizierung erforderlich sind, desto sicherer sind Ihre Systeme.
Klicken Sie hier für unseren Leitfaden zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA), die bis Ende 2020 für Online-Zahlungen erforderlich ist.
Auf der anderen Seite sind starke Einmalpasswörter für Menschen schwer zu merken und erfordern daher zusätzliche Technologie, um zu funktionieren. Bei OTP-Systemen, die auf eine Lock-Step- oder Counter-Synchronisation angewiesen sind, müssen Passwortgeneratoren mit der Situation fertig werden, dass ein elektronisches Token mit seinem Server nicht synchron ist, was zu zusätzlichen Entwicklungskosten führt. Zeitsynchrone Systeme hingegen vermeiden dies auf Kosten der Aufrechterhaltung einer Uhr in den elektronischen Token (und eines Offsetwerts zur Berücksichtigung der Taktdrift).
Die billigsten (und besten) Lösungen sind diejenigen, die OTPs ohne die mit proprietärer Hardware verbundenen Kosten bereitstellen. Einfache Methoden wie manuell generierte Listen oder Zahlenraster bieten kostengünstige Lösungen, sind jedoch langsam und schwer zu warten. Benutzer müssen eine Liste von Passwörtern mit sich führen und verfolgen, wo sie sich in der Liste befinden.
Wenn die Liste in die falschen Hände gerät, hat jemand alle Ihre Passwörter. Die besten Lösungen verwenden daher ein vorhandenes Gerät (z. B. Mobiltelefon) und liefern Einmalpasswörter ohne die mit SMS-Nachrichten verbundenen Kosten (z. B. Push-Benachrichtigung).
Klicken Sie hier, um unsere Gedanken zum Teilen von Passwörtern zu lesen (wir wissen, dass Sie auch daran schuld sind!)
Um Ihre Unternehmensdaten zu schützen, müssen Sie wissen, wie Sie sichere Einmalpasswörter für eine starke Zwei-Faktor- oder Multi-Faktor-Authentifizierung generieren. Sie müssen dann auch wissen, wie Sie Einmalpasswörter an Kunden oder Mitarbeiter verteilen, damit das von Ihnen erstellte System nicht anfällig für Angriffe ist. Sprechen Sie mit einem Sicherheitsexperten wie 10Duke, um herauszufinden, wie Sie eine sichere Zwei- oder mehrstufige Authentifizierung implementieren können, um Ihre Mitarbeiter und Ihre Anwendungen zu schützen.