Authenticator-Apps, Hardware-Token und SMS-Codes sind gängige Authentifizierungsmethoden, auf die du beim Einrichten der Zwei-Faktor-Authentifizierung (2FA) stößt. Alle basieren auf Einmalpasswörtern (OTP). TOTP und HOTP sind zwei standardisierte Arten von OTPs, während SMS- und E-Mail-Codes andere gängige Übertragungsmethoden für OTPs sind. Obwohl sie im Grunde denselben Zweck erfüllen, unterscheiden sie sich in ihrer Implementierung, was ihnen einzigartige Vorteile und Einschränkungen verleiht. In diesem Artikel vergleichen wir HOTP vs. TOTP vs. OTP und erklären, welche Option für verschiedene Anwendungsfälle am sinnvollsten ist.
HOTP, TOTP und OTP verstehen
Einmalpasswort (OTP)
OTPs sind temporäre Codes, manchmal auch als Einmal-Passwörter oder 2FA-Codes bezeichnet, die nur einmal verwendet werden. Sie ersetzen keine Passwörter, sondern bieten eine zusätzliche Sicherheitsstufe. OTPs werden häufig in Bankanwendungen zur Identitätsprüfung bei Anmeldungen oder beim Einrichten eines Online-Kontos verwendet.
Hinweis: OTP ist der Oberbegriff für verschiedene Formen von Einmal-Passwörtern, einschließlich TOTP, HOTP und E-Mail/SMS.
Zeitbasiertes Einmalpasswort (TOTP)
TOTP-Codes sind in der Regel 6-stellige Codes, die von Authenticator-Apps generiert werden. Sie sind etwa 30 Sekunden lang gültig (manchmal bis zu 60 Sekunden, je nach Dienst). Wenn ein Code abläuft, funktioniert er nicht mehr und ein neuer wird generiert. Die zeitbasierte Natur von TOTP macht es äußerst sicher, da sie das Zeitfenster für Angreifer zur Nutzung eines gestohlenen Codes einschränkt.
HMAC-basiertes Einmalpasswort (HOTP)
HOTPs sind häufig auf Hardware-Token wie YubiKeys zu finden und basieren auf einem zählerbasierten System zur Generierung von Codes. Dieses System funktioniert ähnlich wie ein Buch mit nummerierten Belegen – es gibt eine fortlaufende Reihenfolge von Codes, die mit dem System abgeglichen werden. Solange der Hardware-Token und der Anwendungsserver synchronisiert bleiben, erhältst du Zugriff.
Im Gegensatz zu TOTP laufen HOTP-Codes nicht über einen Timer ab. Sie bleiben gültig, bis du sie verwendest oder einen neuen Code generierst. Dies macht sie ideal für Offline-Szenarien, bedeutet aber auch, dass ein Code, den du generierst und nicht verwendest, ein gültiger Schlüssel bleibt, den ein Angreifer finden und nutzen könnte.
HOTP, TOTP und OTP: Wichtigste Unterschiede
Sowohl TOTP als auch HOTP sind Arten von OTPs mit unterschiedlichen Generierungsmethoden. Wenn du beispielsweise TOTP mit OTP vergleichst, vergleichst du wahrscheinlich die zeitbasierten Codes von Authenticator-Apps mit allgemeinen OTP-Methoden wie SMS- und E-Mail-Codes.
| SMS-/E-Mail-Codes | TOTP | HOTP | |
| Codegültigkeit | Variiert (Minuten bis Stunden) | 30 bis 60 Sekunden | Bis ein neuer Code generiert wird |
| Sicherheit* | Niedrig | Hoch | Moderat |
| Komplexität der Einrichtung | Keine | Niedrig | Moderat |
| Aktive Netzwerkverbindung erforderlich | Ja | Nein | Nein |
| Zusätzliche Hardware | Keine | Keine | Hardware-Token |
*Sicherheitsstufe basierend auf den Gültigkeitsfenstern der Codes und dem Risiko des Abfangens.
Sicherheit
HOTP, TOTP und OTP bieten verschiedene Sicherheitsstufen, wobei die wichtigsten Aspekte die Expositionszeit und die Übertragungsmethode sind.
TOTP bietet im Allgemeinen eine höhere Sicherheit als SMS- oder E-Mail-Codes, da die Codes auf dem Gerät generiert werden und nur kurz gültig sind. Wenn Angreifer irgendwie an deinen TOTP-Code gelangen, wird er unbrauchbar.
HOTP basiert auf einer kryptografischen Grundlage und bietet solide Sicherheit. Da HOTP-Codes jedoch nicht über einen Timer ablaufen, könnten die potenziell langen Gültigkeitsfenster gestohlene Codes zu einer Sicherheitslücke machen.
SMS- und E-Mail-Codes sind am wenigsten sicher. Sie werden über Netzwerke übertragen, die abgefangen oder umgeleitet werden können, wodurch sie anfälliger für SIM-Swapping- oder Phishing-Angriffe sind..
Hinweis: Keine OTP-Methode ist immun gegen Social-Engineering-Angriffe wie Phishing. Es ist wichtig zu wissen, wie man Phishing erkennt, um sich richtig zu schützen.
| SMS-/E-Mail-Codes | TOTP | HOTP |
| Anfällig für Abfangen aufgrund der Notwendigkeit eines aktiven Netzwerks | Minimale Zeit für Angreifer, um gestohlene Codes zu missbrauchen | Lange Gültigkeit bietet erweiterte Angriffsmöglichkeiten |
| Unverschlüsselte Plattformen machen es einfacher, Codes zu stehlen | Geringeres Risiko des Abfangens, da die Codes auf dem Gerät generiert werden | Solide Sicherheit auf kryptografischer Basis |
Benutzererfahrung
Die Komplexität der Einrichtung, Zeitdruck und Zuverlässigkeit beeinflussen die Benutzererfahrung der drei Methoden.
TOTP ist zuverlässig und bequem. Die Einrichtung ist unkompliziert (oft nur das Scannen eines QR-Codes) und Codes werden auch ohne aktives Netzwerk generiert. Der schnelle Ablauf des Codes erzeugt jedoch Zeitdruck, was bei langsameren Benutzern oder bei der Verwaltung mehrerer Konten zu Frustration führen kann.
HOTP ist im Vergleich dazu viel entspannter, ganz ohne Zeitdruck. Die Einrichtung ist jedoch weitaus komplexer und erfordert unter Umständen den Kauf zusätzlicher Hardware.
SMS- und E-Mail-Codes sind am mühelosesten, da keine Einrichtung erforderlich ist. Sie sind jedoch auf eine Netzwerkverbindung angewiesen, was bei Ausfällen oder Störungen zu Verzögerungen führen kann.
| SMS-/E-Mail-Codes | TOTP | HOTP |
| Keine Einrichtung erforderlich | Einfache Einrichtung per QR-Code mit einer 2FA-Authenticator-App | Komplexe Einrichtung, erfordert möglicherweise zusätzliche Hardware |
| Leichter Zeitdruck, da einige Codes in wenigen Stunden ablaufen | Zeitdruck kann zu Frustration führen | Kein Zeitdruck |
| Vollständig von einem aktiven Netzwerk für die Übermittlung des Codes abhängig | Funktioniert auch ohne Netzwerkverbindung zuverlässig | Funktioniert offline, aber es können Synchronisierungsprobleme auftreten |
Einschränkungen
Die einzigartigen Einschränkungen jeder Methode beeinflussen, wie und wann du sie verwendest. SMS- und E-Mail-Codes funktionieren mit deinen vorhandenen Geräten, aber ihre Abhängigkeit von deiner Netzwerk- und Internetverbindung kann zu Verzögerungen bei der Codeübermittlung führen, die sogar länger als ihre Gültigkeit dauern können.
TOTP erfordert keine Netzwerkverbindung, um Codes zu generieren, aber dein Smartphone muss zeitlich mit dem Server synchronisiert sein, damit dein Code funktioniert. Am besten stellst du dies sicher, indem du die Uhr deines Geräts automatisch mit dem Internet synchronisieren lässt. So bleibt die Zeitsynchronisierung auch auf Reisen erhalten.
Bei HOTP kann die Generierung neuer Codes offline von Vorteil sein, wenn die Netzwerkverbindung schlecht ist. Dies ist jedoch ein zweischneidiges Schwert. Das erneute Generieren von Codes, ohne sie zu verwenden, kann dazu führen, dass dein Gerät nicht mehr mit dem Server synchronisiert ist, was zu Authentifizierungsfehlern führt. Zudem bürdet die bei HOTP erforderliche manuelle Neugenerierung dem Benutzer eine große Sicherheitsverantwortung auf.
| SMS-/E-Mail-Codes | TOTP | HOTP |
| Gebiete mit schlechtem Netzwerk können erhebliche Verzögerungen bei der Codezustellung verursachen | Die Gerätezeit muss mit der Serverzeit synchronisiert sein, auch auf Reisen | Kann asynchron werden, wenn zu viele Codes generiert, aber nicht verwendet werden |
Welche OTP-Methode solltest du verwenden?
Die kurze Antwort lautet: TOTP ist der beste Standard für die meisten Menschen, während HOTP bestimmten Offline-Anforderungen dient. Beide sind SMS überlegen.
Obwohl die individuellen Bedürfnisse variieren, scheint TOTP in den meisten Situationen die ausgewogenere Wahl zu sein. Die zeitbasierte Natur bietet eine zusätzliche Sicherheitsebene und die Erreichbarkeit über das Smartphone macht es zu einer praktischen und sicheren Wahl für die Konten, auf die du regelmäßig zugreifst. Aber für einen noch stärkeren Schutz vor Phishing gehen hardwarebasierte Methoden wie FIDO2/Passkeys weiter als jede OTP-Methode.
Passwörter sicher speichern und OTPs generieren
Das Verwalten von Passwörtern und TOTP-Authentifizierungscodes kann mühsam sein – der ständige App-Wechsel bei Anmeldungen verkürzt die ohnehin begrenzte Zeit, die du für die Eingabe von Codes hast. Proton Pass ist ein sicherer Passwort-Manager, der diesen Aufwand mit unserer integrierten 2FA-Funktion (TOTP) reduziert. Greife von einem einzigen sicheren, verschlüsselten Tresor auf deine Passwörter, 2FA-Codes und mehr zu.
