OTP (Einmalpasswort)

Ein OTP (Einmalpasswort) ist eine kurze Authentifizierungszeichenfolge, die genau für eine Anmeldung oder Transaktion gültig ist. Nachdem es verwendet wurde oder nach Ablauf eines kurzen Zeitfensters, kann es nicht wiederverwendet werden. OTPs sind konzipiert, um das Risiko der Passwortwiederverwendung und des Credential-Diebstahls zu verringern: Selbst wenn das OTP während der Übertragung abgefangen wird, hat es keinen Wert, sobald es verbraucht ist.

OTPs gibt es in zwei Hauptvarianten. HOTP (HMAC-basiertes Einmalpasswort, RFC 4226) generiert Codes aus einem inkrementierenden Zähler, der zwischen Server und Client geteilt wird. Jede erfolgreiche Anmeldung erhöht den Zähler, sodass Codes in einer deterministischen, aber nicht wiederholenden Sequenz erzeugt werden. TOTP (zeitbasiertes Einmalpasswort, RFC 6238) ersetzt den Zähler durch die aktuelle Zeit, unterteilt in diskrete Fenster von typischerweise 30 Sekunden. Beide Verfahren verwenden ein gemeinsames Geheimnis und HMAC-SHA1 (manchmal SHA256 oder SHA512), um die sichtbaren Ziffern aus dem zugrunde liegenden Zustand abzuleiten.

In der Praxis erfolgt die OTP-Zustellung über mehrere Kanäle:

• SMS: Der Server generiert einen zufälligen kurzen Code, sendet ihn über das Mobilfunknetz und der Benutzer gibt ihn in das Anmeldeformular ein. Dies ist der häufigste und am wenigsten sichere Kanal.
• E-Mail: ähnlich wie SMS, aber im Posteingang zugestellt, langsamer und etwas sicherer.
• Authentifizierungs-App: TOTP-Code, der lokal auf einem Gerät unter Verwendung eines bei der Registrierung ausgetauschten Geheimnisses generiert wird.
• Push-Benachrichtigung: eine Ein-Tap-Bestätigungsaufforderung an ein registriertes Gerät.
• Hardware-Token: ein dediziertes Gerät (RSA SecurID, YubiKey), das den Code anzeigt oder überträgt.

OTPs sind ein Baustein der 2FA und der Zusatzauthentifizierung. Die Sicherheit eines OTP-Systems hängt vollständig von der Geheimhaltung des Seed-Materials und der Integrität des Zustellungskanals ab — ein OTP, das per SMS an eine SIM-getauschte Nummer zugestellt wird, bietet keinen echten Schutz. Lokal generierte TOTP-Codes sind stärker, da es keinen Zustellungskanal gibt, der abgefangen werden kann.

Moderne Web-Standards (WebAuthn, Passkeys) verdrängen OTPs schrittweise, da OTPs anfällig für Phishing bleiben: Ein Benutzer kann dazu verleitet werden, sein OTP auf einer gefälschten Anmeldeseite einzugeben, und ein Angreifer kann es innerhalb des Gültigkeitsfensters wiedergeben. Trotzdem bleibt OTP per SMS oder Authentifizierungs-App de facto Standard für die Zwei-Faktor-Authentifizierung im Consumer-Web im Jahr 2026.