TOTP: Der Schlüssel zum 30-Sekunden-Code

Das Sinnbild für Zwei-Faktor-Authentifizierung dürfte jedoch nicht die SMS oder die E-Mail sein, sondern eine App mit vielen Zahlenreihen, die sich ständig ändern. Das System heißt TOTP, was für Time-based One-time Password steht. Um es zu nutzen, muss anbieter- beziehungsweise serverseitig ein Schlüssel generiert und meist durch das Scannen eines QR-Codes in eine TOTP-App auf dem Smartphone übertragen werden.

Dadurch ist der Schlüssel sowohl dem Dienst als auch dem Nutzer bekannt. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hashwert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet. Neben dem aktuellen Code wird häufig auch noch der vorherige Code akzeptiert.

Per App zum TOTP-Code

Die bekannteste dieser TOTP-Apps dürfte der Google Authenticator sein. Dieser und der Microsoft Authenticator gerieten jedoch 2020 in die Schlagzeilen, weil sie unter Android das Erstellen von Screenshots nicht deaktiviert hatten. Entsprechend hätte eine Schadsoftware einfach einen Screenshot der App erstellen und so an die 2FA-Codes gelangen können.

Die Open-Source-App andOTP (Play Store, F-Droid) nutzte bereits damals unter Android die entsprechende Sicherheitseinstellung und bietet zudem das Verbergen der Codes sowie einen Passwortschutz an. Zu den genannten Apps gibt es jedoch unzählige Software- und Hardwarealternativen. Damit man sich nicht selbst aussperrt, sollten mehrere Geräte verwendet werden beziehungsweise ein Backup des oben genannten Schlüssels oder QR-Codes erstellt werden.

TOTP ist nicht phishingresistent

Das TOTP-Verfahren hat allerdings auch seine Schwächen. Kennen Dritte den Schlüssel, können auch diese die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht phishingresistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich.

Geben Nutzer beispielsweise ihre Zugangsdaten sowie den TOTP-Code auf einer Phishing-Webseite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Mit der Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisiert werden und so auch trotz des zweiten Faktors mithilfe von Phishing Zugang zu den Nutzerdaten erlangt werden.

TOTP ist zwar solide und relativ weit verbreitet, doch es gibt mit Fido beziehungsweise Webauthn auch bessere, phishingresistente 2FA-Verfahren.