Zeitbasierte Einmalpasswörter (TOTPs) sind der Computeralgorithmus für Einmalpasswörter. Sie erweitern das Hash-based Message Authentication Code (HMAC) Einmalpasswort (HMAC-based One-time Password, kurz HOTP).
TOTPs können anstelle oder als zusätzlicher Faktor neben traditionellen, langlebigeren Zwei-Faktoren verwendet werden Authentifizierungslösungen wie SMS-Nachrichten oder physische Hardware-Token, die gestohlen oder vergessen werden können leicht. Was genau sind zeitbasierte Einmalpasswörter? Wie arbeiten Sie?
Was ist ein TOTP?
TOTP ist ein temporärer, einmalig verwendbarer Passcode, der von einem Algorithmus entsprechend der aktuellen Uhrzeit generiert wird zur Benutzerauthentifizierung. Es ist eine zusätzliche Sicherheitsebene für Ihre Konten, die auf basiert Zwei-Faktor-Authentifizierung (2FA) bzw Multi-Faktor-Authentifizierung
(MFA). Das bedeutet, dass Sie, nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, aufgefordert werden, einen bestimmten Code einzugeben, der zeitabhängig und kurzlebig ist.TOTP wird so genannt, weil es einen Standardalgorithmus verwendet, um einen eindeutigen und numerischen Einmal-Passcode unter Verwendung der Greenwich Mean Time (GMT) zu ermitteln. Das heißt, der Passcode wird aus der aktuellen Zeit während dieses Zeitraums generiert. Die Codes werden auch aus einem gemeinsamen Geheimnis oder einem geheimen Seed-Passcode generiert, der bei der Benutzerregistrierung beim Authentifizierungsserver entweder über QR-Codes oder Klartext bereitgestellt wird.
Dieser Passcode wird dem Benutzer angezeigt, der ihn für eine bestimmte Zeit verwenden soll, danach läuft er ab. Benutzer geben den einmaligen Passcode, ihren Benutzernamen und ihr reguläres Passwort innerhalb einer begrenzten Zeit in ein Anmeldeformular ein. Nach Ablauf ist der Code nicht mehr gültig und kann nicht in einem Anmeldeformular verwendet werden.
TOTPs enthalten eine Reihe dynamischer numerischer Codes, normalerweise zwischen vier und sechs Ziffern, die sich alle 30 bis 60 Sekunden ändern. Die Internet Engineering Task Force (IETF) veröffentlichte TOTP, beschrieben in RFC 6238, und verwendet einen Standardalgorithmus, um ein Einmalkennwort zu erhalten.
Mitglieder von Initiative für offene Authentifizierung (OATH) sind die Köpfe hinter der Erfindung von TOTP. Es wurde ausschließlich unter Patent verkauft, und verschiedene Authentifizierungsanbieter haben es seitdem nach der Standardisierung vermarktet. Es wird derzeit häufig von verwendet Cloud-Anwendung Anbieter. Sie sind benutzerfreundlich und für den Offline-Einsatz verfügbar, was sie ideal für den Einsatz in Flugzeugen oder bei fehlender Netzabdeckung macht.
Wie funktioniert ein TOTP?
TOTPs als zweiter Autorisierungsfaktor für Ihre Apps bieten Ihren Konten eine zusätzliche Sicherheitsebene, da Sie die einmaligen numerischen Passwörter eingeben müssen, bevor Sie sich anmelden. Sie werden im Volksmund „Software-Token“, „Soft-Token“ und „App-basierte Authentifizierung“ genannt und finden Verwendung in Authentifizierungs-Apps wie Google-Authentifikator Und Auth.
So funktioniert es: Nachdem Sie Ihren Benutzernamen und Ihr Passwort für Ihr Konto eingegeben haben, werden Sie aufgefordert, einen gültigen TOTP-Code in eine andere Anmeldeoberfläche einzugeben, um zu beweisen, dass Sie der Besitzer des Kontos sind.
Bei einigen Modellen erreicht Sie das TOTP per SMS-Textnachricht auf Ihrem Smartphone. Sie können die Codes auch von einer Authentifizierungs-Smartphone-Anwendung abrufen, indem Sie ein QR-Bild scannen. Diese Methode ist die am weitesten verbreitete und die Codes laufen normalerweise nach etwa 30 oder 60 Sekunden ab. Einige TOTPs können jedoch 120 oder 240 Sekunden dauern.
Der Passcode wird auf Ihrer Seite erstellt und nicht auf der Seite des Servers, der die Authentifizierungsanwendung verwendet. Aus diesem Grund haben Sie immer Zugriff auf Ihr TOTP, sodass der Server nicht jedes Mal eine SMS senden muss, wenn Sie sich anmelden.
Es gibt andere Methoden, mit denen Sie Ihr TOTP erhalten können:
- Hardware-Sicherheitstoken.
- E-Mail-Nachrichten vom Server.
- Sprachnachrichten vom Server.
Da das TOTP zeitbasiert ist und innerhalb von Sekunden abläuft, haben Hacker nicht genug Zeit, um Ihre Passcodes zu antizipieren. Auf diese Weise bieten sie dem schwächeren Benutzernamen- und Passwort-Authentifizierungssystem zusätzliche Sicherheit.
Sie möchten sich beispielsweise bei Ihrer Workstation anmelden, die TOTP verwendet. Sie geben zuerst Ihren Benutzernamen und Ihr Passwort für das Konto ein und das System fordert Sie zur Eingabe eines TOTP auf. Sie können es dann von Ihrem Hardware-Token oder dem QR-Bild lesen und in das TOTP-Anmeldefeld eingeben. Nachdem das System den Passcode authentifiziert hat, meldet es Sie bei Ihrem Konto an.
Der TOTP-Algorithmus, der den Passcode generiert, erfordert die Zeiteingabe Ihres Geräts und Ihren geheimen Seed oder Schlüssel. Sie benötigen keine Internetverbindung, um das TOTP zu generieren und zu verifizieren, weshalb Authentifizierungs-Apps offline funktionieren können. TOTP ist für Benutzer erforderlich, die ihre Konten verwenden möchten und während der Reise in Flugzeugen oder in abgelegenen Gebieten, in denen keine Netzwerkverbindung verfügbar ist, eine Authentifizierung benötigen.
Wie wird TOTP authentifiziert?
Der folgende Prozess bietet eine einfache und kurze Anleitung zur Funktionsweise des TOTP-Authentifizierungsprozesses.
Wenn ein Benutzer auf eine Anwendung wie eine Cloud-Netzwerkanwendung zugreifen möchte, wird er aufgefordert, das TOTP einzugeben, nachdem er seinen Benutzernamen und sein Passwort eingegeben hat. Sie verlangen, dass 2FA aktiviert wird, und das TOTP-Token verwendet den TOTP-Algorithmus, um das OTP zu generieren.
Der Benutzer gibt das Token auf der Anforderungsseite ein, und das Sicherheitssystem konfiguriert sein TOTP unter Verwendung derselben Kombination aus der aktuellen Zeit und dem gemeinsamen Geheimnis oder Schlüssel. Das System vergleicht die beiden Passcodes; Wenn sie übereinstimmen, wird der Benutzer authentifiziert und erhält Zugriff. Es ist wichtig zu beachten, dass sich die meisten TOTP mit QR-Codes und Bildern authentifizieren.
TOTP vs. HMAC-basiertes Einmalpasswort
Das HMAC-basierte One-Time Password stellte das Framework bereit, auf dem TOTP aufgebaut wurde. Sowohl TOTP als auch HOTP haben Ähnlichkeiten, da beide Systeme einen geheimen Schlüssel als eine der Eingaben zum Generieren des Passcodes verwenden. Während TOTP jedoch die aktuelle Zeit als andere Eingabe verwendet, verwendet HOTP einen Zähler.
Darüber hinaus ist TOTP in Bezug auf die Sicherheit sicherer als HOTP, da die generierten Passwörter nach 30 bis 60 Sekunden ablaufen, danach wird ein neues generiert. In HOTP bleibt der Passcode gültig, bis Sie ihn verwenden. Aus diesem Grund können viele Hacker auf HOTPs zugreifen und diese für erfolgreiche Cyberangriffe nutzen. Obwohl HOTP immer noch von einigen Authentifizierungsdiensten verwendet wird, erfordern die meisten gängigen Authentifizierungs-Apps TOTP.
Was sind die Vorteile der Verwendung eines TOTP?
TOTPs sind vorteilhaft, weil sie Ihnen eine zusätzliche Sicherheitsebene bieten. Das Benutzername-Passwort-System allein ist schwach und wird häufig angegriffen Man-in-the-Middle-Angriffe. Bei den TOTP-basierten 2FA/MFA-Systemen haben die Hacker jedoch nicht genug Zeit, um auf Ihr TOTP zuzugreifen Selbst wenn sie Ihr herkömmliches Passwort gestohlen haben, haben sie kaum Gelegenheit, Ihr Passwort zu hacken Konten.
TOTP-Authentifizierung bietet zusätzliche Sicherheit
Cyberkriminelle können leicht auf Ihren Benutzernamen und Ihr Passwort zugreifen und Ihr Konto hacken. Mit den TOTP-basierten 2FA/MFA-Systemen können Sie jedoch ein sichereres Konto haben, da TOTPs zeitgebunden sind und innerhalb von Sekunden ablaufen. Die Implementierung von TOTP lohnt sich eindeutig.
