Prinzip

• einmal gültiges Passwort
• dynamisch generiert oder statisch
• Abkürzung für das One-Time Passwort ist OTP
• besteht aus alphanumerischer Zeichenfolge
• Nach Anmeldung oder Transaktion ungültig
• Absichern von Anmeldeverfahren
• Höhere Sicherheit

Verfahren zur Generierung

• Benutzer und System müssen Passwort kennen

2 Verfahren

• Erstellen von Kennwortlisten
• Dynamische Kennwortgenerierung

Erstellen von Kennwortlisten

• Kennwortlisten auf Benuitzer- und Systemseite hinterlegt
• Kennwörter freiwählbar
• Benutztes Passwort wird gestrichen.
• Wenn alle "verbraucht" neue Liste
• Beispiel TAN Homebanking

Dynamische Kennwortgenerierung

Drei Arten

• Anforderung des Servers
• zeitgesteuert
• ereignisgesteuert

zeitgesteuerte Generierung

• OTP-Generator und Server erstellen Passwörter nach gleichem Algorithmus
• Die Passwörter sind für einen bestimmten Zeitraum gültig

ereignisgesteuerte Generierung

• erzeugt das Passwort durch drücken einer Taste auf dem OTP-Generator
• Passwort entsteht durch Berechnung vorigen Passworts und wird durch Server überprüft

Generierung durch Anforderung

• Server gibt dem Client einen Wert vor
• durch bestimmten Algorithmus wird das Einmalkennwort erzeugt
• Server kann durch Algorithmus das erzeugte Kennwort zu überprüfen

OTP-Token

• OTP-Token Geräte zur Erzeugung von Einmalkennwörtern.
• Auch Kennwort-Generatoren genannt
• mit einem einzeiligen Display ausgestattet
• Zeigen Kennwort auf dem Display an
• Kennwortgeneratoren auch als App auf einem Smartphone eingesetzt werden

Beispiele

• Google Authenticator
• Sophos Authenticator

Quelle

• https://www.security-insider.de/was-ist-ein-one-time-password-otp-a-732249/