TOTP-Einmalkennwörter

Wie TOTP-Einmalkennwörter sensible Unternehmensdaten sichern

Time-based One-Time Passwords (kurz: TOTP) erweitern den Log-in per Benutzername und Passwort um eine weitere Komponente und sichern sensible Unternehmensdaten per Zwei-Faktor-Authentifizierung (2FA). Doch wie funktionieren die zeitlich begrenzt gültigen Einmalkennwörter überhaupt und welche Vorteile bietet ein Hardware-Authenticator?

Ob Business-Anwendungen wie Microsoft 365, PC-Support per Teamviewer oder VPN-Fernzugriffe auf das eigene Unternehmensnetzwerk: Die alleinige Eingabe von Benutzername und Passwort reicht nicht mehr. Fast alle Online-Plattformen bieten deshalb die Möglichkeit, Benutzerkonten durch eine sichere Zwei-Faktor-Authentifizierung (2FA) vor Missbrauch und Identitätsdiebstahl zu schützen. Diese Variante der Multi-Faktor-Authentifizierung (MFA) nutzt neben Benutzername und Passwort beispielsweise ein zeitlich limitiertes Einmalkennwort als weiteren Authentifizierungsfaktor.

Welche Arten der sicheren Zwei-Faktor-Authentifizierung es gibt

Den zusätzlichen Authentifizierungsfaktor für einen sicheren Log-in per 2FA können Firmen auf unterschiedlichsten Wegen bereitstellen. Neben Einmalpasswörtern, die spezielle TOTP-Generatoren erzeugen oder Server per E-Mail, SMS oder Anruf übermitteln, lassen sich auch physische Token wie Smartcards und Authentifizierungsschlüssel zur Absicherung der Nutzerkonten verwenden. Weit verbreitet sind dabei die folgenden sechs Arten der Zwei-Faktor-Authentifizierung:

Die verschiedenen Zwei-Faktor-Authentifizierungsmethoden lassen sich übrigens auch kombinieren. So haben Unternehmen beispielsweise die Möglichkeit, ihren Mitarbeitern neben der Nutzung von physischen Authentifizierungsschlüsseln wie Yubikey auch den 2FA-Log-in über TOTPEinmalpasswörter zu ermöglichen. Auf diese Weise können Beschäftigte mit einem TOTP-Generator auch dann noch auf ihr Konto zugreifen, wenn sie den physischen Schlüssel verlieren.

Wie zeitbasierte TOTP-Einmalpasswörter in der 2FA funktionieren

Aufgrund der Sicherheitsmängel einer Zwei-Faktor-Authentifizierung per SMS oder E-Mail und der Einstiegshürden bei Smartcards und physischen Authentifizierungsschlüsseln nutzen unternehmensinterne Online-Plattformen und die meisten Online-Dienste vor allem Time-based One-Time Passwords (TOTP). Dabei handelt es sich um eine Methode, zeitlich begrenzt gültige Einmalkennwörter (One-Time Password, OTP) auf Grundlage eines gemeinsamen und geheimen Schlüssels (Shared Secret) zu generieren. Dieses kryptografische Verfahren hat die branchenübergreifende Initiative For Open Authentication (OATH) entwickelt und im Rahmen der Internet Engineering Task Force (IETF) im Juli 2011 als RFC 6238 veröffentlicht. 

Im Kern basiert TOTP, das als offener Standard frei von Patenten ist, auf einer kryptografischen Hash- Funktion (HMAC). Diese berechnet aus der aktuellen Uhrzeit und einem zuvor vereinbarten, geheimen Schlüssel einen Hash-Wert. Dieses Einmalkennwort gilt dann allerdings nur für 30 Sekunden, sodass Sender und Empfänger über hinreichend genaue Uhren verfügen müssen. So viel zur Theorie. In der Praxis läuft die Umstellung eines Nutzerkontos auf eine sichere Zwei-Faktor-Authentifizierung mit TOTP in etwa so ab:

Als TOTP-Authenticator verwendet der Nutzer dabei meist eine Software-Lösung auf seinem Smartphone beziehungsweise Desktop-PC. Alternativ funktioniert auch – und das ist gerade im Unternehmenseinsatz wesentlich sicherer – ein eigenständiger, auf Hardware basierender TOTPGenerator ohne Internet-Verbindung.

Ein Vergleich der Soft- und Hardware-Lösungen für TOTP-Kennwörter

Bei den Software-Lösungen für TOTP-Kennwörter zählen der Google Authenticator und der Microsoft Authenticator sicher zu den bekanntesten Authenticator-Apps. Es gibt aber auch Alternativen wie Authy von Twilio oder die quelloffenen Anwendungen Aegis Authenticator, andOTP sowie FreeOTP(+). Selbst Passwort-Manager wie KeePass, LastPass oder 1Password unterstützen inzwischen die Zwei-Faktor-Authentisierung per TOTP. Diese Anwendungen funktionieren oft auch im Flugmodus ohne bestehende Internet-Verbindung. Trotzdem bergen derartige Software-Lösungen ein Restrisiko. So erlaubt beispielsweise die Android-Banking-Malware Cerberus, deren Quellcode in Untergrundforen frei verfügbar ist, laut den Sicherheitsexperten von Kaspersky inzwischen auch das Abgreifen von Zwei-Faktor-Authentisierungs-Codes. 

Höchste Sicherheit im Unternehmensalltag bieten hingegen auf Hardware basierende TOTP-Generatoren. Sie speichern die geheimen TOTP-Schlüssel in der eigenen Hardware, arbeiten ohne Internet-Verbindung und lassen sich deshalb auch online nicht angreifen. Einige Geräte bieten zudem einen integrierten PIN-Schutz. Bei Verlust schützt eine derartige Sicherheitsfunktion effektiv vor Missbrauch, denn sie erlaubt die Nutzung des Authenticators erst nach Eingabe der PIN. Wird die PIN mehrfach falsch eingegeben, erfolgt dabei meist ein Zurücksetzen auf Werkseinstellungen, bei dem alle Schlüssel und Konten vom Gerät gelöscht werden.

Eine wichtige Rolle bei allen Arten von TOTP-Authenticatoren spielt deren genaue Uhrzeit. Je nach Implementierung tolerieren Online-Dienste zwar leichte Abweichungen der Uhrzeit auf dem TOTPAuthenticator des Anwenders. Fällt die Abweichung aber zu groß aus, schlägt der Log-in fehl. Während bei Apps der Abgleich der Uhrzeit über das Network Time Protocol (NTP) per Internet erfolgt, verfügen TOTP-Authenticatoren auf Hardware-Basis über hinreichend genaue Uhren für die Berechnung der Einmalpasswörter. Und die können für Firmen in vielen Fällen regelmäßige Folgekosten verursachen.

Aufgrund von Zeitabweichungen der internen Echtzeituhr sind Hardware-Lösungen mit verbauter Batterie oft nur zwei Jahre für die Bereitstellung von TOTP-Kennwörtern nutzbar. Im Gegensatz zu vielen Konkurrenzprodukten, die einen laufzeitbedingten Geräteaustausch erfordern, lässt sich der REINER SCT Authenticator beispielsweise nach einem Wechsel der drei AAA-Batterien über die integrierte Kamera wieder präzise synchronisieren. Über ein patentiertes QR-Kamera-Verfahren nutzt der Hersteller die Kamera des Authenticators auch zum Ändern der Spracheinstellung oder Zeitzone sowie zum Einspielen von Firmware-Updates mit neuen Funktionen und Erweiterungen. Während andere Hardware-Lösungen sich mitunter nur für einen einzigen 2FA-Account nutzen lassen, hat REINER SCT auf diese Weise beispielsweise ein Firmware-Update bereitgestellt, mit dem das Gerät nun 60 statt bislang zehn Konten verwaltet. Das ist nachhaltig und senkt die Kosten bei der Beschaffung und im Support.

Weitere Beiträge