Wenn du jemals einen Hardware-Token zur Genehmigung digitaler Banktransaktionen verwendet oder auf einen YubiKey getippt hast, um einen Anmeldecode zu generieren, hast du die HMAC-basierte Einmalpasswort-Technologie (HOTP) verwendet. Um dir zu helfen, zu verstehen, wie du HOTP zum Schutz deiner Konten nutzen kannst, werden wir untersuchen, wie HOTP funktioniert, welche Vorteile und Einschränkungen es hat, und es mit anderen OTP-Methoden vergleichen.

Was ist HOTP?

HOTP steht für HMAC-basiertes Einmalpasswort. Es ist eine Zwei-Faktor-Authentifizierungsmethode (2FA), die bei Bedarf einmalig verwendbare Anmeldecodes generiert.

HMAC, oder Hash-basierter Nachrichten-Authentifizierungscode, ist ein kryptografisches Verfahren, das einen geheimen Schlüssel und eine Hashfunktion verwendet, um einen sicheren, manipulationssicheren Wert zu erzeugen. HOTP wendet HMAC zusammen mit einem Zähler an, um sicherzustellen, dass jeder Authentifizierungscode eindeutig ist und nur einmal verwendet werden kann.

Da HOTP-Codes gültig bleiben, bis sie verwendet oder ersetzt werden, eignen sie sich gut für mobiles Arbeiten und andere Umgebungen, in denen eine zuverlässige Zeitsynchronisation oder ständige Verbindung nicht möglich ist.

Wie funktioniert HOTP?

Die HOTP-Authentifizierung basiert auf zwei gemeinsamen Komponenten: einem geheimen Schlüssel und einem Zähler. Sowohl das Gerät des Benutzers als auch der Authentifizierungsserver speichern diese Werte und verwenden sie, um unabhängig voneinander denselben Einmalcode zu generieren.

Einrichtung: Wenn ein Hardware-Token eingerichtet wird, wird ein geheimer Schlüssel zwischen dem Gerät und dem Anwendungsserver geteilt und auf beiden Seiten sicher gespeichert.

Einen Code generieren: Das Gerät verwendet eine kryptografische Hashfunktion namens HMAC, um den geheimen Schlüssel mit dem aktuellen Zählerwert zu kombinieren. Das Ergebnis ist ein kurzes, unvorhersehbares Einmalpasswort.

Authentifizierung: Wenn du den HOTP-Code eingibst, führt der Server dieselbe Berechnung mit seiner eigenen Kopie des geheimen Schlüssels und des Zählers durch. Wenn die Codes übereinstimmen, wird der Zugriff gewährt.

Das HOTP-Zählersystem erklärt

HOTP basiert auf einem einzigartigen Zählersystem, das von deinem Gerät und dem Authentifizierungsserver gemeinsam genutzt wird. Jedes Mal, wenn du einen neuen Code generierst, erhöht sich der Zähler. Nach einer erfolgreichen Anmeldung aktualisiert der Server auch seinen Zähler. Solange die Zähler von Gerät und Server synchron bleiben, stimmen die Codes überein und gewähren dir Zugriff.

Stell dir HOTP wie ein Buch mit nummerierten Belegen vor, die du nacheinander abreißt und verwendest. Ein benutzter Beleg kann nicht wiederverwendet werden und du musst den nächsten verwenden. Das HOTP-Zählersystem funktioniert ganz ähnlich.

HOTP-Authentifizierung vs. andere OTPs

HOTP vs. OTP

Einmalpasswörter (OTP) ist ein weit gefasster Begriff für die verschiedenen einmalig verwendbaren Passwörter, die wir für 2FA nutzen. HOTP ist eine spezielle Art von OTP, die auf einem zählerbasierten System basiert, um ihre Codes zu generieren.

HOTP vs. TOTP

Zeitbasierte Einmalpasswörter (TOTP) generieren automatisch alle 30 bis 60 Sekunden einen neuen Code. Das häufigste Beispiel für TOTP sind die von Authenticator-Apps generierten Codes. HOTP hingegen generiert einen neuen Code nur bei Bedarf und verwendet dazu einen Zähler anstelle eines Timers.

Dieser Unterschied wirkt sich auf die Sicherheit der einzelnen OTP-Methoden aus. Der schnelle Ablauf von TOTP lässt Angreifern nur ein sehr kurzes Zeitfenster. Im Gegensatz dazu können HOTP-Codes tagelang oder sogar wochenlang gültig bleiben.

HOTP ist jedoch in Situationen zuverlässiger, in denen Geräte ungenaue Uhren haben. Zum Beispiel bei Geräten an abgelegenen Standorten mit schwachen Internetverbindungen.

HOTP im Vergleich zu SMS- und E-Mail-Codes

Per SMS und E-Mail gesendete OTP-Codes können leicht abgefangen werden, da sie über Mobilfunk- und Internetnetzwerke übertragen werden müssen. HOTP generiert Codes direkt auf dem Gerät. Das macht es sicherer und sorgt selbst bei Netzwerkausfällen für einen konsistenten Zugriff.

Was sind die Vorteile und Einschränkungen von HOTP?

Die Vorteile der HOTP-Authentifizierung

Es gibt mehrere Vorteile, wenn du HOTP als deine bevorzugte OTP-Methode verwendest:

  • Funktioniert offline: HOTP kann offline verwendet werden und ist daher ideal für Standorte mit eingeschränktem Internetzugang.
  • Kein Zeitdruck: HOTP-Codes laufen nicht automatisch ab, sodass du dir beim Eingeben des Codes Zeit lassen kannst.
  • Anerkannter Algorithmus: HOTP ist durch RFC 4226(neues Fenster) definiert. Dies gewährleistet die Kompatibilität zwischen verschiedenen Softwareanbietern und Hardware-Tokens unterschiedlicher Hersteller.
  • Weniger Abhängigkeiten: Das zählerbasierte System von HOTP ist nicht auf genaue Uhren oder eine ständige Verbindung angewiesen, was es in bestimmten Umgebungen berechenbarer machen kann.

Die Einschränkungen der HOTP-Authentifizierung

Wie bei allen Technologien gibt es auch bei HOTP einige wichtige Aspekte zu beachten:

  • Unbegrenzte Gültigkeit: HOTP-Codes können unbegrenzt aktiv bleiben, wenn keine neuen Codes generiert werden. Dies gibt Angreifern mehr Zeit, um gestohlene Codes auszunutzen.
  • Zählersynchronisation: Wenn du Codes generierst, ohne sie zu verwenden, können die Zähler deines Geräts und des Servers asynchron werden, was zu Fehlern bei der Authentifizierung führt.
  • Manuelle Verwaltung: Da Codes nicht automatisch ablaufen, musst du daran denken, nach jeder Verwendung neue Codes zu generieren.

Mach einen Schritt in Richtung einer stärkeren Passwortsicherheit

Obwohl HOTP vielleicht nicht den Sicherheitsvorteil eines automatischen Ablaufs oder den Komfort von SMS-Codes bietet, bringt sein zählerbasiertes System einzigartige Vorteile mit sich. Es ist ein bewährtes 2FA-System mit zuverlässigem Offline-Zugriff, und der fehlende Zeitdruck könnte für manche von Vorteil sein.
Um deine Passwörter und 2FA-Codes ganz einfach an einem einzigen verschlüsselten Ort zu verwalten, solltest du Proton Pass ausprobieren. Unser sicherer Passwort-Manager mit integriertem 2FA-Authenticator schützt alle deine Anmeldedaten und 2FA-Codes mit einer vollständigen Ende-zu-Ende-Verschlüsselung. Es war noch nie so einfach, dein digitales Leben sicher und komfortabel zu gestalten.