Mit zwei Kennwörtern – dank TOTP – statt nur einem können Sie Angreifern das Leben schwer machen, unberechtigt auf Ihre Online-Konten zuzugreifen. Das gilt vor allem, wenn es sich beim zweiten Kennwort um ein Passwort handelt, das innerhalb einer halben Minute abläuft und anschließend nicht mehr gültig ist:
Das Time-Based-One-Time-Password (TOTP-Code) ist ein Authentifizierungsverfahren, das bei der Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommt. Mit dieser sicheren Anmeldung in zwei Schritten melden Sie sich bei einem Konto mit zwei verschiedenen Kennwörtern an. Das erste Kennwort ist Ihr reguläres, festes Passwort. Beim zweiten Kennwort kann es sich um einen TOTP-Code handeln. Dabei wird ein QR-Code erzeugt, den Sie mit einem TOTP-Generator einscannen. Dieser Code ist ein Sicherheitscode, der zufällig generiert wird und der bei jeder Anmeldung variiert.
Wie sieht ein TOTP-Kennwort aus? Die Einmalkennwörter werden aus einer Zeichenfolge gebildet, die einen Zeitstempel enthält. Hierbei handelt es sich um ein kryptografisches Verfahren (Hash-Funktion).
Der Authentifizierungsschlüssel TOTP hat die folgenden Eigenschaften:
- Es ist nur für eine kurze Zeit lang gültig. Damit ist das Kennwort ein »zeitbasiertes Einmal-Passwort«. Sie sind deshalb dynamisch und nicht statisch.
- Der TOTP-Code wird manchmal auch als 30-Sekunden-Code bezeichnet. Das liegt daran, dass ein Time-Based-One-Time-Password meist nur 15 bis 30 Sekunden lang gültig ist.
- Die Codes sind nur ein einziges Mal nutzbar. Nach der Eingabe des Codes oder nach Ablauf der Gültigkeitsdauer verfällt das TOTP-Token.
Welche Vorteile hat das Verfahren?
Dieses Verfahren schützt Ihre sensiblen Daten beim Online-Banking oder beim Einkaufen im Internet. Da die Authentifizierungsschlüssel TOTP in der Regel nach 30 Sekunden verfallen, können Cyber-Kriminelle das zeitbasierte Kennwort kaum ausspionieren. Denn dazu reicht diese kurze Gültigkeitsdauer nicht aus.
Das Erzeugen eines Einmalpassworts bei jeder Anmeldung macht TAN-Listen überflüssig. Auch das ist ein Vorteil: So sind Sie stärker vor Cyber-Bedrohungen, Identitätsdiebstahl und unbefugtem Zugriff geschützt. Denn smarte Hacker sind mittlerweile in der Lage, sich Zugang zu TAN-Listen zu verschaffen.
Wie funktioniert die TOTP-Methode?
Der TOTP-Code wird mithilfe eines Algorithmus automatisch generiert. Da er zeitlich begrenzt ist, wird alle 30 bis 60 Sekunden ein neuer eindeutiger Code generiert. Der Schlüssel (das »Geheimnis«) ist nur dem TOTP-Generator bzw. der 2FA-App und der Website mit dem Online-Konto bekannt. Die Authentifizierung erfolgt dann mit der Hardware oder einer App.
Möchten Sie aus Sicherheitsgründen die zweistufige Authentifizierung für Online-Konten verwenden, müssen Sie die 2FA-Option bei jedem Online-Konto zunächst aktivieren und einrichten.
SCHRITT 1: 2FA einrichten
- Melden Sie sich bei Ihrem Online-Konto an. Wechseln Sie im Benutzerkonto in den Bereich der Einstellungen oder Sicherheit. Aktivieren Sie die Zwei-Faktor-Authentifizierung und legen Sie das bevorzugte Authentifizierungsverfahren fest, z. B. über eine Authentifizierungs-App.
- Laden Sie sich jetzt noch die Authentifizierungs-App herunter und installieren Sie sie, z. B. auf Ihrem Smartphone oder Tablet.
- Befolgen Sie die Anweisungen auf dem Bildschirm, um die App und das Verfahren einzurichten.
SCHRITT 2: TOTP-Codes für die Online-Anmeldung nutzen
- Sie rufen auf dem PC oder Laptop Ihr Benutzerkonto online auf und geben zunächst Ihren Nutzernamen und Ihr statisches (reguläres) Kennwort ein.
- Bevor Sie Zugriff auf Ihr Konto erhalten, werden Sie aufgefordert, den TOTP-Code einzugeben.
- Im Hintergrund wird automatisch ein zeitlich begrenzt gültiges Passwort generiert. Auf der Website wird ein QR-Code (oder eine Zeichenfolge) angezeigt, den Sie mit dem TOTP-Generator oder der Authentificator-App auf dem Smartphone einscannen müssen. (Über diesen QR-Code werden Online-Konto und App miteinander verbunden, um den TOTP-Code auszutauschen.)
- Öffnen Sie die Authentifizierungs-App auf dem Smartphone, um den Code zu erfahren.
- Geben Sie jetzt den TOTP-Code innerhalb von 15 bis maximal 30 Sekunden ein. Erst nach der richtigen Eingabe sind Sie bei Ihrem Konto angemeldet. Warten Sie zu lange mit der Eingabe oder ist die Eingabe falsch, müssen Sie einen neuen TOTP anfordern.
Welche TOTP-Generatoren und -Apps gibt es?
Für das Erzeugen von TOTP-Codes nutzt man entweder Hardware-basierte oder App-basierte TOTP-Generatoren. Ein TOTP-Hardware-Generator ist ein kleines Gerät, das einem Taschenrechner ähnlich sieht. Diese Hardware-Geräte besitzen eine Kamera-Funktion und einen QR-Code-Scanner. Der OTP-Generator von Reiner SCT ist ein solches Gerät und unterstützt viele bekannte Online-Plattformen wie Facebook, PayPal, Google, NextCloud, Dropbox und viele mehr. Er wird auch als Hardware-Alternative zum Google Authentificator angesehen. Am häufigsten wird allerdings eine mobile Authentificator-App für das TOTP-Verfahren verwendet.
Bekannte Authenticator-Apps, die alle kostenlos sind:
- Microsoft Authenticator
- Google Authenticator
- Twilio Authy
- Cisco Duo Mobile
- LastPass Authenticator
- FreeOTP
- Und viele mehr
Was ist der beste Authentificator?
In der Regel ist der beste Authentificator der, der am besten zu Ihren Bedürfnissen passt. Nutzen Sie Ihr Google-Konto sehr häufig, wäre der Google Authenticator die beste Wahl. Der Google Authentificator ist besonders beliebt, da er sehr viele Websites und Online-Dienste unterstützt. Arbeiten Sie aber überwiegend mit Microsoft, lohnt sich der Microsoft Authenticator.
In Kombination mit einem passenden Authentifizierungstool bietet vor allem die Nutzung von zeitbasierten Codes gegenüber HOTP-Codes eine viel höhere Sicherheit Ihrer Konten:
Grundsätzlich gibt es zwei Varianten von Einmalpasswörtern, den »One-Time Passwords« oder OTPs: die Time-Based One-Time Passwords sowie die HMAC-Based One-Time Passwords (HOTPs). HOTP ist eine ereignis- oder zählerbasierte Authentifizierung. Das bedeutet, der Code bleibt so lange bestehen, bis ein neuer Code angefordert wird. Das Generieren der TOTP-Codes basiert auf der aktuellen Uhrzeit. Aber im Gegensatz zu HOTPs verfallen TOTPs nach Ablauf von 15 bis maximal 30 Sekunden. Danach werden sie werden zurückgesetzt.
Mit KeePass 2FA und OTP-Kennwörter verwalten
Mit einem Password-Manager wie KeePass können Sie Ihre sicheren Kennwörter einfach verwalten. Aber KeePass kann noch viel mehr: Sie können aus dem TOTP-Schlüssel im Klartext auch Einmalpasswörter für die 2FA-Anmeldung generieren lassen. So funktioniert es:
- Installieren Sie das Plugin »KeeTrayTOTP«.
- Starten Sie KeePass neu. Jetzt ist das Menü »Tray TOTP Plugin« verfügbar.
- Klicken Sie mit der rechten Maustaste auf einen Eintrag und wählen Sie im Kontextmenü »Tray TOTP Plugin« und dann »Setup TOTP« So fügen Sie einen zeitbasierten Code hinzu.
- Klicken Sie auf »Finish«.
- Wenn Sie einen 6-stelligen Code für eine 2FA-Anmeldung generieren möchten, klicken Sie auf den gewünschten Eintrag und drücken STRG+T (oder »Tray TOTP Plugin« und »Copy TOTP«). Damit speichern Sie den Code für eine kurze Zeit in die Zwischenablage.
Markenschutz für Brands
Ein unterschätztes Risiko für Brands stellt die Sicherheit rund um ihre Domains dar. Informieren Sie sich bei uns, welche Risiken tatsächlich für Sie und Ihre Firma bestehen und wie Sie Ihre Marke schützen können.