Einmal genutzt, und schon nicht mehr brauchbar – das klingt nicht nach einer nachhaltigen Lösung. Hier geht es aber um eine gute Sache: Das One Time Passwort (OTP) sorgt für mehr Sicherheit beim Zugriff auf sensible Daten.
Die TAN-Liste hat ausgedient
Vielen von uns ist das Konzept des Einmalpassworts noch bekannt aus den Anfängen des Online-Bankings. Nutzer erhielten von ihrer Bank per Papierpost eine erste Liste von hundert TAN. Bei jeder Transaktion forderte die Banking-Anwendung nach dem Zufallsprinzip eine TAN an, die damit verbraucht war. Spätestens mit der letzten verbleibenden TAN musste eine neue Liste angefordert werden. Die konnte elektronisch in das Kundenpostfach zugestellt werden. Aber wehe, der Bankkunde vertippt sich bei dieser letzten TAN. Weil sie nur einmal nutzbar ist, gibt es keinen zweiten Versuch, und mit leerer TAN-Liste muss ein aufwendiger Prozess gestartet werden, um an die neue Liste zu kommen.
Natürlich lässt sich dieses Problem umgehen, indem man das Anfordern der nächsten Liste nicht bis zum letzten Moment hinausschiebt, sondern dann, wenn noch zwei oder drei TAN übrig sind. Viel drängender ist ein anderer Aspekt: Gerät die Liste in falsche Hände, hat der Dieb alle Zugriffsschlüssel in der Hand. Eine geschickt gemachte Phishing-Seite verleitet arglose Nutzer, dort einige TAN preiszugeben. Bei unbegrenzter Gültigkeit haben sie für die Täter großen Wert. Kurzum, eine Liste von Einmalpasswörtern ist unsicher und darf deshalb für das Online-Banking nicht mehr verwendet werden.
Zwei-Faktor-Authentifizierung mit OTP Token
Das grundsätzliche Verfahren einer Bestätigung durch zwei Faktoren gilt aber weiterhin als sicher und ist deshalb auch weit verbreitet. Die zwei Faktoren sind in den meisten Fällen Wissen (eines Kennworts) und Besitz (von Hardware). Alternativ ist auch eine Authentifizierung per Biometrie (Fingerabdruck, Gesichts- oder Stimmerkennung, Iris-Scan) möglich. Als Hardware dient entweder ein vorhandenes Smartgerät oder ein Passwortgenerator, ein OTP Token. Die Funktionsweise eines solchen Tokens ist aus Nutzersicht denkbar einfach: Auf Knopfdruck wird das Einmalpasswort erzeugt und auf einem Display angezeigt. Das Gerät ist nicht größer als ein Schlüsselanhänger, es braucht keine Netzverbindung, und eine Batterie erlaubt den Betrieb über viele Monate.
Technisch ist die Angelegenheit wesentlich komplizierter. Kompetente Anbieter von Sicherheitstechnik sorgen dafür, dass auf dem Token und dem Server identische Algorithmen ablaufen. So kann beispielsweise der Fortinet OTP Token ein zeitlich auf den Server abgestimmtes Passwort erzeugen. Der Server prüft die Richtigkeit, indem er mit denselben Daten, also Datum/Uhrzeit und Seriennummer des Tokens, rechnet. Das Time-based One Time Password (TOTP) bleibt nur für wenige Minuten gültig. Alternativen zur Zeitsteuerung sind ein ereignisgesteuertes OTP oder ein Challenge-Response-Verfahren, bei dem der Server eine Anfrage startet und der Client die erwartete Antwort geben muss, um den Zugang freizuschalten.
Zusätzliche Hardware, mehr Sicherheit
Die Verwendung eines separaten Passwortgenerators mag auf den ersten Blick umständlich erscheinen. Es besteht das Risiko eines Ausfalls, und sei es nur durch eine leere Batterie im entscheidenden Moment. Dafür gibt er aber auch große Sicherheit. Die beliebte Verwendung desselben Passworts für viele Dienste ist beispielsweise ausgeschlossen. Und auch Replay-Angriffe durch Abspielen aufgezeichneter Anmeldedaten sind bei Verwendung eines OTP-Tokens deutlich erschwert.
Bild: Bigstockphoto.com / tommaso79