TOTP: Der Schlüssel zum 30-Sekunden-Code

Das Sinnbild für Zwei-Faktor-Authentifizierung dürfte jedoch nicht die SMS oder die E-Mail sein, sondern eine App mit vielen Zahlenreihen, die sich ständig ändern. Das System heißt TOTP, was für Time-based One-time Password steht. Um es zu nutzen, muss anbieter- beziehungsweise serverseitig ein Schlüssel generiert und meist durch das Scannen eines QR-Codes in eine TOTP-App auf dem Smartphone übertragen werden.

Stellenmarkt
  1. SAP ABAP Backend Entwickler (m/w/d)
    Digital Building Solutions GmbH, Sendenhorst (Münster)
  2. Softwareentwickler Python (w/m/d) - Applikationen für Solar- und Windleistungsprognosen
    energy & meteo systems GmbH, Oldenburg
Detailsuche

Dadurch ist der Schlüssel sowohl dem Dienst als auch dem Nutzer bekannt. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hashwert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet. Neben dem aktuellen Code wird häufig auch noch der vorherige Code akzeptiert.

Per App zum TOTP-Code

Die bekannteste dieser TOTP-Apps dürfte der Google Authenticator sein. Dieser und der Microsoft Authenticator gerieten jedoch 2020 in die Schlagzeilen, weil sie unter Android das Erstellen von Screenshots nicht deaktiviert hatten. Entsprechend hätte eine Schadsoftware einfach einen Screenshot der App erstellen und so an die 2FA-Codes gelangen können.

Die Open-Source-App andOTP (Play Store, F-Droid) nutzte bereits damals unter Android die entsprechende Sicherheitseinstellung und bietet zudem das Verbergen der Codes sowie einen Passwortschutz an. Zu den genannten Apps gibt es jedoch unzählige Software- und Hardwarealternativen. Damit man sich nicht selbst aussperrt, sollten mehrere Geräte verwendet werden beziehungsweise ein Backup des oben genannten Schlüssels oder QR-Codes erstellt werden.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

TOTP ist nicht phishingresistent

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    08./09.09.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Das TOTP-Verfahren hat allerdings auch seine Schwächen. Kennen Dritte den Schlüssel, können auch diese die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht phishingresistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich.

Geben Nutzer beispielsweise ihre Zugangsdaten sowie den TOTP-Code auf einer Phishing-Webseite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Mit der Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisiert werden und so auch trotz des zweiten Faktors mithilfe von Phishing Zugang zu den Nutzerdaten erlangt werden.

TOTP ist zwar solide und relativ weit verbreitet, doch es gibt mit Fido beziehungsweise Webauthn auch bessere, phishingresistente 2FA-Verfahren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 mTAN: Ein Code per SMS kann leicht abgefangen werdenFido: Sichere 2FA und Passwort-Killer 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Truster 27. Jun 2022 / Themenstart

War/Ist bei Micrsosoft tatsächlich sehr leicht möglich, denn die App zeigt dir nicht an...

gunterkoenigsmann 26. Jun 2022 / Themenstart

In den Account-Einstellungen unter "mein Konto sichern".

JE 26. Jun 2022 / Themenstart

.. und selbstgeschriebene Verfahren. "Statt auf etablierte Verfahren wie Fido oder TOTP...

robinx999 26. Jun 2022 / Themenstart

Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist...

Kommentieren



Aktuell auf der Startseite von Golem.de
Return to Monkey Island
Gameplay-Trailer zeigt neuen Guybrush Threepwood

Das dürfte nicht nur für Begeisterung sorgen: Erstmals ist Gameplay aus dem nächsten Monkey Island zu sehen - und die Hauptfigur.

Return to Monkey Island: Gameplay-Trailer zeigt neuen Guybrush Threepwood
Artikel
  1. Raumfahrt: US-Raumfrachter Cygnus führt ISS-Bahnkorrektur durch
    Raumfahrt
    US-Raumfrachter Cygnus führt ISS-Bahnkorrektur durch

    Der Westen kann auch ohne russisches Raumfahrzeug Bahnkorrekturen der ISS durchführen.

  2. WIK: Netzausbausteuer für Netflix und Co. schadet den Nutzern
    WIK
    Netzausbausteuer für Netflix und Co. schadet den Nutzern

    Werden Contentanbieter wie Netflix in Europa gezwungen, sich am Netzausbau zu beteiligen, schadet das am Ende den Nutzern. Das ergibt eine Analyse des WIK.

  3. Subventionen: Lindner will lieber Kitas als Elektroautos fördern
    Subventionen
    Lindner will lieber Kitas als Elektroautos fördern

    In der Debatte um die künftige Förderung von Elektroautos legt Finanzminister Christian Lindner nach. Die Kritik lässt nicht lange auf sich warten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Top-TVs bis 57% Rabatt • PS5 bestellbar • MindStar (Palit RTX 3080 Ti 1.099€, G.Skill DDR5-5600 32GB 189€) • Lenovo 34" UWQHD 144 Hz günstig wie nie: 339,94€ • Corsair Wakü 236,89€ • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Alternate (Team Group SSD 1TB 119,90€)[Werbung]
    •  /