Du musstest wahrscheinlich schon einmal einen sechsstelligen Code aus einer Authenticator-App eingeben, als du dich online angemeldet hast. Das ist als zeitbasiertes Einmalpasswort oder TOTP bekannt und es ist eine unglaublich einfache Möglichkeit, die Sicherheit deiner Online-Konten zu verbessern.

Dank des schnellen Ablaufs dieser Codes nach 30 bis 60 Sekunden ist es für Cyberkriminelle nahezu unmöglich, auf dein Konto zuzugreifen, selbst wenn sie deine Passwörter stehlen. Wir werden uns ansehen, was TOTPs sind, wie sie funktionieren und wie sie im Vergleich zu anderen Authentifizierungsmethoden abschneiden.

Was ist TOTP?

Ein TOTP ist eine Art von Einmalpasswort (OTP), das temporäre Codes generiert und dabei die Zeit als Schlüsselkomponente nutzt. Diese Codes ändern sich alle 30 bis 60 Sekunden, was es für Cyberkriminelle extrem schwierig macht, sie zu gefährden. Für den unwahrscheinlichen Fall, dass sie irgendwie deinen Code herausfinden, macht seine kurze Lebensdauer ihn für einen Angreifer schnell fast nutzlos.

TOTP ist eine Methode zur Zwei-Faktor-Authentifizierung (2FA), die deinen Benutzernamen und dein Passwort um eine zusätzliche Sicherheitsebene ergänzt. Es ist bequem zu nutzen – generiere einfach den Code mit einer Authenticator-App – und seine zeitbasierte Natur macht es sehr sicher.

Wie funktioniert TOTP?

Einfach ausgedrückt funktioniert TOTP, indem ein geheimer Schlüssel zwischen dem Dienst, den du schützt, und deiner TOTP-App geteilt wird.

Wenn du 2FA aktivierst, scannst du einen QR-Code, um den geheimen Schlüssel mit deinem TOTP-Authenticator zu teilen. TOTP-Apps sind kostenlos, und zu den bekanntesten gehören Google Authenticator und Microsoft Authenticator. Wenn du einen sicheren Passwort-Manager verwendest, verfügt dieser möglicherweise über einen integrierten 2FA-Authenticator, der TOTP-Codes generiert. Proton Pass ist ein solcher Passwort-Manager. Er speichert deine Passwörter sicher und generiert deine 2FA-Codes in einer einzigen App.

Sobald die Ersteinrichtung abgeschlossen ist, synchronisieren sich der Dienst, bei dem du dich anmeldest, und die Authenticator-App, um mithilfe des geheimen Schlüssels unabhängig voneinander gleichzeitig denselben Code zu berechnen. Wenn du dich anmeldest, wirst du aufgefordert, einen 2FA-Code einzugeben. Wenn der Code des Dienstes mit dem von dir eingegebenen Code übereinstimmt, wirst du angemeldet.

Die Unterschiede zwischen TOTP und anderen Einmalpasswörtern

TOTP ist nur eine von mehreren Methoden für Einmalpasswörter (OTP). Hier ist eine kurze Übersicht, wie TOTP im Vergleich dazu abschneidet. Du findest auch eine ausführlichere Anleitung zum Unterschied zwischen TOTPs, OTPs und HOTPs.

TOTP vs. OTP

OTP ist ein Oberbegriff für Einmalpasswörter. TOTP ist eine Art von OTP, die ein zeitbasiertes Modell zur Generierung von OTP-Codes verwendet. Alle TOTPs sind OTPs, aber es gibt noch andere OTP-Methoden. Dazu gehören SMS- und E-Mail-Codes sowie HOTP. Jede Methode bietet unterschiedliche Möglichkeiten zur Generierung und Zustellung deines OTP-Codes.

TOTP vs. HOTP

HMAC-basierte Einmalpasswörter (HOTPs) generieren einen neuen OTP-Code nur bei Bedarf. Das bedeutet, dass jeder Code so lange gültig ist, bis ein neuer generiert wird, was sie leichter zu gefährden macht. TOTP-Codes werden nach 30 bis 60 Sekunden automatisch aktualisiert, sodass Angreifer weniger Zeit haben, gestohlene Codes zu verwenden.

TOTP vs. SMS- und E-Mail-Codes

SMS– und E-Mail-Codes werden über Mobilfunk- und Internet-Netzwerke übertragen, was sie anfällig für Abfangen macht. Wenn du schlecht gesicherte oder gefährdete Netzwerke nutzt, könnten Angreifer deine Aktivitäten ausspionieren und deine OTP-Codes abfangen. Im Vergleich dazu werden TOTP-Codes direkt auf dem Gerät generiert und nicht über ein Netzwerk übertragen, was sie sicherer macht.

Die Sicherheitsvorteile von TOTP

Die Verwendung von TOTP als deine bevorzugte OTP-Methode bringt mehrere Sicherheitsvorteile mit sich.

  • Zeitlich begrenzte Codes: TOTP-Codes laufen innerhalb von 30 bis 60 Sekunden ab, bevor ein neuer Code generiert wird. Dies lässt Angreifern so gut wie keine Zeit, gestohlene TOTP-Codes zu verwenden, da abgelaufene Codes nicht wiederverwendet werden können.
  • Abfangsicher: TOTP-Codes werden direkt auf dem Gerät generiert. Sie werden nicht über Netzwerke übertragen, wo sie aufgrund mangelhafter Netzwerksicherheit abgefangen werden könnten.
  • Schutz vor Datenlecks: Wenn dein Passwort bei einem Datenleck offengelegt wird, bieten TOTP-Codes eine zusätzliche Barriere gegen unbefugte Anmeldungen. Angreifer können ohne deine Authenticator-App nicht auf dein Konto zugreifen.
  • Funktioniert auf jedem Smartphone: TOTP funktioniert direkt auf deinem Smartphone – du musst keinen Hardware-Token kaufen. Lade einfach eine Authenticator-App auf dein Gerät herunter und schon bist du startklar.

TOTP bietet hervorragende Sicherheit, ist aber nicht perfekt. Der Verlust deines Geräts könnte dich aus deinen Konten aussperren, speichere also immer deine Backup-Codes. Achte außerdem darauf, dass sich die Uhren deiner Geräte automatisch mit dem Internet synchronisieren, da falsche Zeiteinstellungen eine häufige Ursache für TOTP-Fehler sind.

Sichere deine Konten mit TOTP

TOTP verbessert die Sicherheit deines Kontos durch zeitbasierte Codes, die anderen OTP-Methoden überlegen sind. Die Verwaltung mehrerer Passwörter und 2FA-Codes muss kein Aufwand sein – verwende einfach Proton Pass, einen Passwort-Manager mit integriertem TOTP-Authenticator.

Proton Pass kombiniert die Speicherung und Generierung von Passwörtern mit einem 2FA-Authenticator, wodurch das Wechseln zwischen Apps beim Anmelden und das Herunterladen zusätzlicher Apps überflüssig werden. Es spart dir wertvollen Speicherplatz und macht das Anmelden mit 2FA nahtlos. Alles, was du in Proton Pass speicherst, einschließlich der von dir generierten Codes, ist durch eine starke Ende-zu-Ende-Verschlüsselung geschützt.

Bringe deine Anmeldesicherheit auf die nächste Stufe – aktiviere noch heute TOTP für deine Konten und speichere all deine Passwörter mit Proton Pass.