Einmalpasswörter

Was ist ein OTP (One-Time Password)?

One Time Password (OTP)
LinkedInRedditWhatsApp

One-Time Passwords (OTP) haben sich in den vergangenen Jahren als wichtiger Baustein moderner IT-Sicherheitskonzepte etabliert. Während klassische Passwörter zunehmend als Schwachstelle gelten, bieten Einmalpasswörter einen deutlich höheren Schutz gegen unbefugten Zugriff. Doch was genau verbirgt sich hinter der Technologie, wie funktioniert sie und wo liegen ihre Grenzen?


Das Grundprinzip: Einmal und nie wieder

Im Gegensatz zu herkömmlichen, statischen Passwörtern ist ein OTP nur für eine einzige Anmeldesitzung oder Transaktion gültig. Nach einmaliger Verwendung verliert es seine Gültigkeit. Selbst wenn ein Angreifer das Passwort abfangen sollte, kann er damit nichts mehr anfangen. Dieser fundamentale Unterschied macht OTP zu einem wirkungsvollen Schutz gegen Phishing-Angriffe, Keylogger und Datenlecks.

Anzeige

Die Idee hinter Einmalpasswörtern ist nicht neu. Bereits in den 1980er Jahren entwickelte Leslie Lamport ein System für sichere Authentifizierung über unsichere Kanäle. Mit der zunehmenden Digitalisierung und den steigenden Anforderungen an IT-Sicherheit haben sich OTP-Verfahren jedoch erst in den letzten zwei Jahrzehnten flächendeckend durchgesetzt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie One-Time Password funktionieren

Moderne OTP-Systeme basieren im Wesentlichen auf zwei standardisierten Verfahren: TOTP (Time-based One-Time Password) und HOTP (HMAC-based One-Time Password). Beide nutzen kryptografische Hash-Funktionen, unterscheiden sich aber in der Art, wie sie die Einmalpasswörter generieren.

Bei TOTP wird das Passwort auf Basis der aktuellen Zeit berechnet. Server und Client teilen sich dabei ein gemeinsames Geheimnis (Secret), das bei der Einrichtung ausgetauscht wird. Dieses Secret wird zusammen mit dem aktuellen Zeitstempel durch den HMAC-SHA1-Algorithmus verarbeitet. Das Ergebnis wird auf eine sechsstellige Zahl reduziert, die für einen begrenzten Zeitraum gültig ist – typischerweise 30 oder 60 Sekunden. Da sowohl der Authentifizierungsserver als auch die Client-Anwendung über denselben Algorithmus und dasselbe Secret verfügen, können beide unabhängig voneinander denselben Code berechnen und abgleichen.

Anzeige

HOTP funktioniert nach einem ähnlichen Prinzip, verwendet jedoch anstelle der Zeit einen Zähler. Bei jeder Generierung eines neuen Passworts wird dieser Zähler sowohl auf Client- als auch auf Serverseite erhöht. Der Vorteil liegt darin, dass keine Zeitsynchronisation notwendig ist, was bei Geräten ohne präzise Uhr oder bei Netzwerkproblemen von Bedeutung sein kann.

Von der SMS zum Hardware-Token: Implementierungsvarianten

In der Praxis begegnen Anwendern OTP in verschiedenen Formen. Die wohl bekannteste Variante ist die SMS-TAN, bei der das Einmalpasswort per Textnachricht aufs Mobiltelefon geschickt wird. Obwohl diese Methode weit verbreitet ist, gilt sie unter Sicherheitsexperten als anfällig. SIM-Swapping-Angriffe, bei denen Kriminelle die Telefonnummer des Opfers auf eine neue SIM-Karte übertragen lassen, haben in den vergangenen Jahren mehrfach Schlagzeilen gemacht.


Verifikationscode Google


Wesentlich sicherer sind Authenticator-Apps wie Google Authenticator, Microsoft Authenticator oder Authy. Diese Anwendungen generieren TOTP-Codes direkt auf dem Smartphone, ohne dass eine Netzwerkverbindung erforderlich wäre. Bei der Einrichtung wird ein QR-Code gescannt, der das gemeinsame Secret enthält. Anschließend erzeugt die App kontinuierlich neue Codes, die mit den serverseitig berechneten Werten übereinstimmen.

Hardware-Tokens stellen die robusteste Lösung dar. Geräte wie der YubiKey kombinieren OTP mit Public-Key-Kryptografie und bieten zusätzliche Funktionen wie FIDO2-Unterstützung. Sie sind gegen Malware und Phishing weitgehend immun, da der kryptografische Schlüssel das Gerät niemals verlässt. Allerdings sind sie mit Anschaffungskosten verbunden und können verloren gehen oder beschädigt werden.

Zwei-Faktor-Authentifizierung: OTP als Teil eines Ganzen

OTP wird in der Regel nicht als alleiniges Authentifizierungsmittel eingesetzt, sondern als zweiter Faktor im Rahmen der Zwei-Faktor-Authentifizierung (2FA). Das Konzept folgt dem Prinzip, dass eine sichere Anmeldung mindestens zwei der drei Faktoren Wissen (etwas, das man weiß), Besitz (etwas, das man hat) und Inhärenz (etwas, das man ist) kombinieren sollte.

Das klassische Passwort repräsentiert den Wissensfaktor, während das OTP den Besitzfaktor darstellt. Sei es das Smartphone mit der Authenticator-App oder der Hardware-Token. Selbst wenn ein Angreifer das Passwort kennt, kann er sich ohne Zugriff auf den zweiten Faktor nicht authentifizieren. Umgekehrt nützt der Besitz des OTP-Generators allein ebenfalls nichts.

Die Einführung von 2FA hat in vielen Bereichen die Sicherheit spürbar erhöht. Laut einer Studie von Microsoft können durch die Aktivierung von Zwei-Faktor-Authentifizierung über 99 Prozent automatisierter Angriffe verhindert werden. Dennoch setzen längst nicht alle Dienste auf diese Technologie, und auch bei Anwendern ist die Akzeptanz unterschiedlich ausgeprägt.

Sicherheitsaspekte: Stärken und Schwachstellen

Die Sicherheit von OTP-Systemen hängt maßgeblich von der Implementierung und dem verwendeten Verfahren ab. Bei TOTP ist die Zeitsynchronisation kritisch. Abweichungen zwischen Client und Server können zu Problemen führen. Die meisten Systeme tolerieren daher eine gewisse Zeitdifferenz und akzeptieren auch Codes aus dem vorherigen oder nachfolgenden Zeitfenster.

Ein weiterer Aspekt ist die Behandlung des Secrets. Dieses wird bei der Einrichtung einmalig zwischen Server und Client ausgetauscht, typischerweise über einen QR-Code. Gelangt ein Angreifer in den Besitz dieses Secrets, kann er beliebig viele gültige OTPs generieren. Die sichere Speicherung des Secrets ist daher essenziell, sowohl auf dem Client als auch auf dem Server.

Phishing-Angriffe haben sich in den letzten Jahren weiterentwickelt und zielen zunehmend auch auf OTP-geschützte Konten ab. Bei sogenannten Man-in-the-Middle-Angriffen wird der Nutzer auf eine gefälschte Website gelockt, die identisch mit der echten aussieht. Gibt er dort seine Zugangsdaten und das OTP ein, leitet der Angreifer diese in Echtzeit an die legitime Seite weiter und erhält so Zugriff. Moderne Verfahren wie FIDO2 und WebAuthn schützen gegen solche Angriffe, da sie die Authentifizierung an die tatsächliche Domain binden.

Integration in Unternehmensumgebungen

In Unternehmen hat sich OTP als Standard für den Zugriff auf kritische Systeme etabliert. Virtual Private Networks (VPN), Cloud-Dienste und administrative Zugänge werden häufig durch OTP-Verfahren abgesichert. Die Integration erfolgt entweder über proprietäre Lösungen einzelner Hersteller oder über offene Standards wie RADIUS, die eine zentrale Authentifizierungsinfrastruktur ermöglichen.

Besonders in regulierten Branchen wie dem Finanzsektor sind Mehr-Faktor-Authentifizierungsverfahren längst verpflichtend. Die europäische Zahlungsdiensterichtlinie PSD2 schreibt für Online-Zahlungen eine starke Kundenauthentifizierung vor, die in der Praxis oft durch OTP umgesetzt wird. Auch die Datenschutz-Grundverordnung (DSGVO) fordert indirekt den Einsatz angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, wozu auch sichere Authentifizierungsverfahren gehören.

Die Verwaltung von OTP-Systemen in großen Organisationen bringt eigene Herausforderungen mit sich. Nutzer müssen ihre Geräte registrieren und verwalten, bei Verlust müssen Backup-Verfahren greifen, und der IT-Support muss bei Problemen eingreifen können. Identity-Management-Systeme und Self-Service-Portale helfen dabei, diese Prozesse zu automatisieren und den administrativen Aufwand zu minimieren.

Alternative und ergänzende Verfahren

Während OTP einen hohen Verbreitungsgrad erreicht hat, entwickeln sich parallel weitere Authentifizierungstechnologien. Biometrische Verfahren wie Fingerabdruck- oder Gesichtserkennung gewinnen an Bedeutung, insbesondere auf mobilen Geräten. Sie bieten den Vorteil der Benutzerfreundlichkeit, werfen aber Datenschutzfragen auf und können unter bestimmten Umständen umgangen werden.

Push-Authentifizierung stellt eine moderne Alternative zu klassischen OTP dar. Statt einen Code manuell einzugeben, erhält der Nutzer eine Push-Benachrichtigung auf seinem Smartphone und bestätigt die Anmeldung mit einem Fingertipp. Dieses Verfahren ist benutzerfreundlicher und bietet zusätzliche Kontextinformationen wie den Standort oder das verwendete Gerät, was die Erkennung verdächtiger Anmeldeversuche erleichtert.

Das FIDO-Protokoll (Fast Identity Online) verspricht eine passwortlose Zukunft. Statt auf Einmalpasswörter zu setzen, verwendet es asymmetrische Kryptografie und Hardware-Token. Die Private-Key-Operationen finden ausschließlich im Token statt, der Server erhält nur den Public Key. Phishing-Angriffe werden dadurch praktisch unmöglich, da die Authentifizierung domänengebunden ist und nicht auf einer anderen Website funktioniert.

Ausblick: Die Zukunft der Authentifizierung

Die Entwicklung geht eindeutig in Richtung Multi-Faktor-Authentifizierung mit adaptiven und risikobasierten Komponenten. Systeme analysieren zunehmend den Kontext einer Anmeldung – Zeitpunkt, Standort, verwendetes Gerät, Netzwerk – und fordern nur dann einen zweiten Faktor an, wenn die Situation als riskant eingestuft wird. Dadurch lassen sich Sicherheit und Benutzerfreundlichkeit besser in Einklang bringen.

Künstliche Intelligenz und Machine Learning werden eine größere Rolle bei der Betrugserkennung spielen. Anomalien im Nutzerverhalten können automatisch erkannt und mit zusätzlichen Authentifizierungsschritten beantwortet werden. Gleichzeitig müssen solche Systeme transparent und nachvollziehbar bleiben, um Datenschutzanforderungen zu genügen.

Die Standardisierung schreitet voran. Mit Passkeys, einer Implementierung der FIDO-Standards durch die großen Plattformanbieter, könnte der Abschied vom klassischen Passwort tatsächlich Realität werden. Nutzer müssten sich dann nur noch biometrisch oder per PIN authentifizieren, während im Hintergrund sichere kryptografische Verfahren zum Einsatz kommen. OTP würde in einem solchen Szenario nicht verschwinden, aber seine Rolle als primärer zweiter Faktor könnte abnehmen.

Fazit: Bewährte Technologie mit Weiterentwicklungspotenzial

One-Time Passwords haben die IT-Sicherheit in den vergangenen Jahren deutlich verbessert und sind heute aus vielen Authentifizierungsszenarien nicht mehr wegzudenken. Sie schließen eine wichtige Lücke zwischen dem unsicheren klassischen Passwort und aufwendigeren Verfahren. Die breite Verfügbarkeit von Smartphones hat die Verbreitung von OTP-Apps begünstigt und die Einstiegshürde für Zwei-Faktor-Authentifizierung gesenkt.

Gleichzeitig ist OTP kein Allheilmittel. SMS-basierte Verfahren weisen Schwachstellen auf, und auch TOTP-Codes können unter bestimmten Umständen abgefangen werden. Die Zukunft der Authentifizierung liegt in der intelligenten Kombination verschiedener Faktoren und Technologien, angepasst an den jeweiligen Sicherheitsbedarf und Nutzungskontext. Wer heute seine Online-Konten schützen möchte, kommt an OTP kaum vorbei, sollte aber die Entwicklung hin zu noch sichereren und komfortableren Verfahren im Auge behalten.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige
Grok
9. Januar 2026
Grok beendet kostenlosen Bildzugang (vorerst)
Daten, Dateninfrastruktur
9. Januar 2026
Bitkom: Firmen können nicht auf internationale Datentransfers verzichten
Nvidia HQ
9. Januar 2026
Check Point sichert KI-Fabriken mit NVIDIA
Sabotage
9. Januar 2026
Berliner Stromausfall: Physische Sabotage beginnt digital

Weitere Artikel

Passwortlose Authentifizierung 2026: Vollständiger Leitfaden für Unternehmen
Was ist Keycloak und was hat es drauf?
NHIs übertreffen menschliche Belegschaft
Wie digitale Identitäten zur zentralen Angriffsfläche werden
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.