One-Time Password
Einmalig gültiger Code als zweiter Authentifizierungsfaktor, der nach einmaliger Verwendung oder nach kurzer Zeit verfällt — meist als TOTP per Authenticator-App oder als SMS-Code umgesetzt.
Ein One-Time Password (OTP) ist ein Anmeldecode, der nur einmal oder innerhalb eines kurzen Zeitfensters gültig ist. OTPs werden typischerweise als zweiter Faktor in einer Multi-Faktor-Authentifizierung eingesetzt: Zusätzlich zu Benutzername und Passwort muss der Nutzer einen sechs- oder achtstelligen Zahlencode eingeben, der entweder von einer Authenticator-App erzeugt, per SMS zugestellt oder per E-Mail versendet wird. Im Gegensatz zu statischen Passwörtern verliert ein OTP nach Verwendung oder nach Ablauf eines Zeitfensters seine Gültigkeit, wodurch klassische Replay-Angriffe verhindert werden.
HOTP und TOTP — die zwei Standards
Technisch unterscheidet man zwei Verfahren. HOTP (HMAC-based One-Time Password, RFC 4226) erzeugt Codes auf Basis eines geteilten Geheimnisses und eines Zählers, der bei jeder Verwendung inkrementiert wird. TOTP (Time-based One-Time Password, RFC 6238) ist die zeitbasierte Variante und heute der De-facto-Standard: Statt eines Zählers fließt die aktuelle Uhrzeit in 30-Sekunden-Schritten in die Berechnung ein. Beide Verfahren basieren auf einem symmetrischen, geteilten Geheimnis, das bei der Einrichtung — meist per QR-Code — zwischen Authenticator-App und Server ausgetauscht wird.
OTP-Zustellwege im Vergleich
| Zustellweg | Beispiel | Phishing-resistent | Schwächen |
|---|---|---|---|
| Authenticator-App (TOTP) | Microsoft Authenticator, Google Authenticator, Aegis | Nein | Echtzeit-Phishing-Proxys können Codes weiterleiten |
| SMS-OTP | Banking, ältere Webdienste | Nein | SIM-Swapping, SS7-Abfang, Smartphone-Malware |
| E-Mail-OTP | Login-Magic-Links, Self-Service-Portale | Nein | Postfach-Kompromittierung hebelt MFA aus |
| Hardware-OTP-Token | RSA SecurID, Yubico OATH | Nein | Logistik, kein Schutz gegen Adversary-in-the-Middle |
| Push-Bestätigung | Microsoft Authenticator, Duo | Eingeschränkt | MFA-Fatigue ohne Number Matching |
Allen klassischen OTP-Verfahren ist gemein, dass der Code über einen separaten Kanal zum Nutzer gelangt und von diesem manuell in das Anmeldeformular übertragen wird. Genau dieser Schritt macht OTP anfällig für moderne Phishing-Angriffe: Ein Adversary-in-the-Middle-Proxy wie Evilginx leitet sowohl Passwort als auch OTP in Echtzeit an den legitimen Dienst weiter und übernimmt anschließend die Session.
SMS-OTP ist die schwächste Variante
Das BSI und die US-Behörde NIST raten seit Jahren von SMS als zweitem Faktor ab. Die Gründe sind systemisch: Das SS7-Protokoll des Mobilfunknetzes erlaubt das Umleiten von SMS, SIM-Swapping-Angriffe verschieben Rufnummern auf eine neue SIM-Karte beim Mobilfunkanbieter, und Smartphone-Malware kann eingehende Codes direkt abfangen. Trotzdem bleibt SMS-OTP wegen der niedrigen Einstiegshürde verbreitet, insbesondere im Banking. Wo der Wechsel auf App-basiertes TOTP oder phishing-resistente Verfahren möglich ist, sollte SMS abgelöst werden.
OTP und Phishing-Resistenz
OTPs sind grundsätzlich nicht phishing-resistent, weil das Geheimnis nicht an die Domain des aufgerufenen Dienstes gebunden ist. Genau hier setzt FIDO2 an: Die kryptografische Bindung an die Origin-Domain verhindert, dass eine gefälschte Login-Seite eine valide Authentifizierung weiterleiten kann. NIST SP 800-63B stuft TOTP als AAL2-fähig ein, schreibt aber für hohe Schutzbedarfe phishing-resistente Methoden vor. Für privilegierte Konten, Administratoren und den Zugriff auf Tier-0-Ressourcen ist OTP heute kein angemessener Schutz mehr.
Einsatz in der Unternehmenspraxis
In Microsoft Entra ID lässt sich TOTP über die Microsoft-Authenticator-App oder kompatible Drittanbieter-Apps als Authentifizierungsmethode konfigurieren. Über Conditional Access und Authentication Strengths können Administratoren festlegen, für welche Anwendungen und Nutzergruppen TOTP ausreicht und wo phishing-resistente Verfahren erzwungen werden müssen. Für reine Standard-Mitarbeitende mit Zugriff auf unkritische Anwendungen kann TOTP einen pragmatischen Mittelweg darstellen, solange Number Matching aktiv ist und SMS als Fallback deaktiviert wurde.
Relevanz für KMUs
Wir finden in Assessments regelmäßig, dass MFA aktiviert ist, aber SMS oder E-Mail als zweiter Faktor zugelassen bleibt — manchmal als Komfort-Fallback, oft schlicht ungeprüft. Der erste pragmatische Schritt ist die Umstellung auf Authenticator-Apps (TOTP) für alle Konten und die vollständige Deaktivierung von SMS-OTP für privilegierte Zugänge. Im zweiten Schritt sollten Administratorkonten, Finanzabteilung und Geschäftsführung auf FIDO2-Hardware-Token oder Passkeys migriert werden, da TOTP gegen moderne Phishing-Kits keinen verlässlichen Schutz mehr bietet. Ein IAM-Assessment zeigt, welche Konten und Anwendungen prioritär migriert werden sollten.