Einmalpasswörter sind eine der häufigsten Formen der Zwei-Faktor-Authentifizierung (2FA). In diesem Blog helfen wir dir zu verstehen, was ein Einmalpasswort ist, die verschiedenen Arten von Einmalpasswörtern, die du erhalten kannst, und wie du sicher bleibst, wenn du dich in deine Konten einloggst.
Wie werden Einmalpasswörter erstellt?
Wofür wird ein Einmalpasswort verwendet?
Können Einmalpasswörter ausgenutzt werden?
Sicher bleiben mit Einmalpasswörtern
Was ist ein Einmalpasswort?
Einmalpasswörter sind eine der beliebtesten Methoden für 2FA und Multi-Faktor-Authentifizierung (MFA). 2FA erfordert die Verwendung von zwei Methoden zur Benutzerauthentifizierung, und die Verwendung von mehr als zwei Methoden wird als Multi-Faktor-Authentifizierung (MFA) bezeichnet.
Einmalpasswörter sind nur eine von vielen Methoden zur Benutzerauthentifizierung, die du nutzen kannst. Je mehr Möglichkeiten du nutzt, um deine Identität zu authentifizieren, desto schwieriger wird es für jemanden, dich zu imitieren. Die drei wichtigsten Methoden zur Benutzerauthentifizierung sind:
- Etwas, das du weisst: Das kann ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage sein.
- Etwas, das du bist: Das kann biometrische Daten sein, die einzigartig für dich sind, wie dein Fingerabdruck, Face ID oder Retina-Scan.
- Etwas, das du hast: Das kann ein physisches Token oder ein digitales Token sein. Physische Tokens können ein Ausweis oder ein Sicherheitsschlüssel sein. Digitale Tokens können ein Einmalpasswort sein, das als SMS gesendet oder von einer Authentifizierungs-App generiert wird.
Ein Einmalpasswort ist eine Methode, sich in ein Konto einzuloggen, ähnlich wie ein Passwort oder Touch ID. Oft ist es eine zufällig generierte Buchstaben- oder Zahlenfolge, die an dein Gerät gesendet wird, um dir zu helfen, dich einmalig in ein Konto einzuloggen. Du kannst ein Einmalpasswort auch über eine Authenticator-App, einen Anruf oder einen Sicherheitsschlüssel erhalten.
Wie der Name schon sagt, kannst du ein Einmalpasswort nur einmal verwenden. Die meisten Einmalpasswörter laufen auch nach einer bestimmten Zeit ab, sodass sie eine effektive Methode sind, um zu bestätigen, dass du ein bestimmtes Gerät zu einem bestimmten Zeitpunkt verwendest.
Sie sind mit jedem Gerät und jeder Plattform kompatibel. Von den Nutzern wird nicht verlangt, Maßnahmen wie das Herunterladen einer App oder das Verwenden eines Sicherheitsschlüssels zu ergreifen, um sie zu nutzen. Sie sind auch einfach zu verwenden und erfordern wenig bis gar kein technisches Wissen. Betrachte sie als einen Schutzring um dein Konto – je mehr Ringe du anbringst, desto schwieriger wird es für jemanden, Zugriff zu erhalten.
Wie werden Einmalpasswörter erstellt?
Du kannst ein Einmalpasswort auf viele verschiedene Arten erhalten. Einige der häufigsten Methoden zur Zustellung von Einmalpasswörtern sind SMS, E-Mail, Authenticator-App und E-Mail. Hier sind einige Beispiele, unterteilt in physische und digitale.
Physisch
Einige Geräte können Einmalpasswörter erstellen, um dir den Zugang zu deinen Konten zu ermöglichen. Dazu gehören
- USB-Laufwerke und Smartcards, die in deinen Computer, dein Telefon oder dein Tablet eingesetzt werden können, um deine Identität zu verifizieren.
- Smartphones und Bank-Sicherheitsgeräte, die ihre eigenen Einmalpasswörter generieren können.
- Karten oder Bluetooth-fähige Geräte, die ebenfalls Einmalpasswörter als kontaktlose Geräte generieren können.
Digital
Software kann auch verwendet werden, um Einmalpasswörter zu generieren:
- Eine Authenticator-App, wie Google Authenticator, kann 2FA-Codes generieren, um dir den Zugriff auf die Apps auf deinem Telefon zu ermöglichen.
- Ein Unternehmen kann dir ein Einmalpasswort per SMS, Push-Benachrichtigung, Anruf oder E-Mail senden, um zu bestätigen, dass du derzeit dein Gerät verwendest.
Wofür wird ein Einmalpasswort verwendet?
Es ist wahrscheinlich, dass du bereits ein Einmalpasswort erhalten hast. Viele Websites und Unternehmen verwenden sie, weil sie sicherer sein können als traditionelle (als ‘statisch’ bezeichnete) Passwörter, die anfälliger dafür sind, in Datenpannen geleakt zu werden. Da statische Passwörter vom Benutzer erstellt werden, gibt es auch keine Garantie dafür, dass sie stark sind. Ein starkes Passwort sollte eine Mischung aus Sonderzeichen und Zahlen verwenden und idealerweise zufällig von einem Passwortgenerator erstellt werden, damit sie nicht leicht zu erraten sind.
Persönliche Logins
Institutionen, die mit sensiblen Daten arbeiten, wie Banken, Gesundheitsanbieter und Online-Händler, verwenden häufig Einmalpasswörter, um dir zu helfen, dich in jede Online-Sitzung einzuloggen. Sie verwenden möglicherweise risikobasierte Zugriffe, bei denen du nur dann aufgefordert wirst, ein Einmalpasswort einzugeben, wenn du versuchst, eine bestimmte Aktion auszuführen: zum Beispiel, wenn du versuchst, Geld von deinem Bankkonto auf ein Konto zu überweisen, mit dem du noch nie zuvor interagiert hast. In diesem Fall schützt die Verifizierung deiner Identität sowohl dich als auch die Bank.
Professionelle Logins
Es kann sein, dass du auch verpflichtet bist, Einmalpasswörter zu erhalten, um dich in deine Business-Tools einzuloggen. Unternehmen arbeiten mit sensiblen Daten, die mit robuster Benutzerauthentifizierung geschützt werden müssen. Viele Unternehmen haben begonnen, ihre Online-Sicherheit durch die Durchsetzung von 2FA oder MFA zu verbessern. In seinem Cyber Essentials Starter Kit(neues Fenster), empfiehlt die Cybersecurity and Infrastructure Security Agency(neues Fenster), die US-Regierungsbehörde für Cybersicherheit, die Durchsetzung von MFA als eine deiner ersten Maßnahmen als Unternehmensleiter. Von den Mitarbeitern zu verlangen, ihre Identität mit Einmalpasswörtern zu authentifizieren, ist eine hervorragende Möglichkeit, ein Unternehmen auf jeder Ebene der Belegschaft zu schützen.
Können Einmalpasswörter ausgenutzt werden?
Es besteht kein Zweifel, dass die Verwendung einer zusätzlichen Authentifizierungsmethode sicherer ist als nur ein statisches Passwort zu verwenden. Keine Authentifizierungsmethode ist jedoch zu 100% sicher.
Passwörter, die per SMS und E-Mail gesendet werden, können abgefangen werden. Durch soziale Manipulation können Hacker jemanden, der ein Einmalpasswort erhalten hat, dazu bringen, es zu teilen. Einmalpasswort-Bots(neues Fenster) können Passwörter abfangen, bevor der beabsichtigte Empfänger sie überhaupt erhält. Mehrere Angriffe, einschließlich SMS Phishing (bekannt als Smishing(neues Fenster)) und SMS Pumping(neues Fenster), stehen entschlossenen Hackern zur Verfügung. Sim-Swapping ermöglicht es Hackern auch, ohne in der Nähe zu sein, auf ein Telefon zuzugreifen.
Es ist schwieriger, Codes abzufangen, die von Authenticator-Apps gesendet werden, aber nicht unmöglich. Im Jahr 2020 entdeckten Experten Malware, die auf Android-Handys installiert war und die 2FA-Codes stehlen konnte(neues Fenster), die von Google Authenticator generiert wurden.
Sicher bleiben mit Einmalpasswörtern
Die Aktivierung von 2FA oder MFA ist der beste Weg, um dich online zu schützen. Ein Einmalpasswort ist eine hervorragende Verteidigung, wenn es richtig konfiguriert ist. Wie konfiguriert man die besten 2FA? Mit einem Passwort-Manager. Ein Passwortmanager hilft dir, so viele Barrieren wie möglich zwischen böswilligen Akteuren und deinen Konten zu schaffen, ohne dass du ein Cybersecurity-Experte sein musst.
Mit Proton Pass kannst du 2FA-Codes generieren für deine Konten mit unserem integrierten Authenticator. Alles, was du in Proton Pass speicherst, einschließlich der Codes, die du generierst, ist durch bewährte Ende-zu-Ende-Verschlüsselung geschützt. Das bedeutet, es ist nur für dich verfügbar. Du kannst dein Proton Pass-Konto auch mit einem biometrischen Login schützen, um die Sicherheit deines Kontos zu erhöhen.
Wenn du ein Einmalpasswort an ein Familienmitglied oder einen Kollegen senden musst, ist die sicherste Methode über einen sicheren Link. Du kannst diese Links so einschränken, dass sie nur eine bestimmte Anzahl von Malen und nach einer bestimmten Zeit ablaufen können. (Es sollte beachtet werden, dass du ein Einmalpasswort nur teilen solltest, wenn du die Identität der Person, die es anfordert, verifizieren kannst – wenn die Anfrage über einen Anruf oder eine SMS von einem unbekannten Absender kommt, ergreife Maßnahmen zur Überprüfung ihrer Identität.)
Du kannst deine Logins, persönlichen Daten und 2FA-Codes sicher in Proton Pass aufbewahren, egal ob du es als Einzelperson oder als Unternehmen verwendest. Finde heraus, welches Abonnement du starten solltest.
