Ein Einmalpasswort ist ein Code, der nur einmal verwendet werden kann, um Zugang zu einem Dienst zu erhalten. Um sich erneut anmelden zu können, muss ein neues Einmalpasswort generiert werden. Das Einmalpasswort kann auf verschiedene Weise generiert werden, z. B. über eine mobile Anwendung, ein physisches Sicherheitstoken, eine SMS und mehr. Diese Token sind normalerweise für einen kurzen Zeitraum gültig, bevor sie aktualisiert und durch einen neuen Token ersetzt werden.
Technipages erklärt Einmalpasswort
Durch die Anforderung eines Einmalpassworts als zweiten Faktor wird die Sicherheit in zweierlei Hinsicht gestärkt: Zum einen muss ein Angreifer nun sowohl das Passwort kennen als auch Zugriff auf das richtige Einmalpasswort haben. Zweitens, wenn der Angreifer einen Man-in-the-Middle-Angriff ausführen und das Passwort und das Einmalpasswort kompromittieren kann, ist das Einmalpasswort für eine zweite Verwendung in einem Replay-Angriff nicht gültig.
Systeme mit Einmalpasswort sind relativ günstig und je nach Produkt für den Endbenutzer im Allgemeinen kostenlos, obwohl Unternehmen möglicherweise für Mitarbeiterlizenzen zahlen. Dienste, die eine mobile Anwendung oder SMS verwenden, sind für Benutzer normalerweise kostenlos, Dienste mit einem physischen Sicherheitstoken wie dem RSA-Token sind mit Kosten verbunden.
Die Verwendung von SMS als zweiter Faktor im Zwei-Faktor-Verifizierungsprozess unter Bereitstellung des einmaligen Passcodes trägt eine geringes Risiko, da es Möglichkeiten gibt, Nachrichten abzufangen und von einem Angreifer zu verwenden, obwohl diese Angriffe recht harmlos sind Komplex. Die Sicherheits-Community rät im Allgemeinen, dass SMS besser ist, als kein einmaliges Passwort mit einem zweiten Faktor zu verwenden, dass jedoch andere Plattformen im Allgemeinen sicherer sind und bevorzugt werden sollten.
Häufige Verwendungen von Einmalpasswörtern
- Hardware-Sicherheitstoken implementieren im Allgemeinen ein zeitsynchronisiertes Einmalpasswort
- Einige Banken senden neuen Benutzern ihres Online-Banking-Systems ein gedrucktes Einmal-Passwort.
- In den meisten Fällen sind Einmalpasswörter Teil eines Zwei-Faktor-Authentifizierungssystems.
Häufiger Missbrauch von Einmalpasswörtern
- Einmalpasswörter werden nur für Wegwerfkonten verwendet.