Tobias Harmes
Tobias Harmes
24. März 2025

TOTP (Time-based one-time password)

Passwörter allein reichen oft nicht aus, um sensible Daten zuverlässig zu schützen. Eine zusätzliche Absicherung bietet die Zwei- oder Multi-Faktor-Authentifizierung mit einem zeitlich begrenzten Einmalpasswort Time-based One-time Password (TOTP). In diesem Beitrag erfahren Sie, wie TOTP funktioniert und Ihre Cybersicherheit verbessert.

Inhaltsverzeichnis

  1. Was ist TOTP?
  2. Anwendungsgebiete und Praxisbeispiele
  3. Sicherheitsaspekte der TOTP
  4. Vergleich der TOTP mit anderen Authentifizierungsmethoden
  5. Best Practices
  6. Fazit
  7. FAQ

Was ist TOTP?

Das Time-based One-time Password (TOTP) ist eine Methode zur Erzeugung von Einmalpasswörtern, die nur für eine kurze Zeitspanne gültig sind. Entwickelt wurde dieser Algorithmus von der Initiative for Open Authentication (OATH), um eine zusätzliche Schutzebene für die digitale Authentifizierung zu schaffen.

Im Gegensatz zu klassischen Passwörtern, die dauerhaft bestehen bleiben, sind TOTP-Codes nur für einen begrenzten Zeitraum nutzbar. Danach verfällt der Code und wird durch einen neuen ersetzt, wodurch es für Cyberkriminelle erheblich schwieriger wird, gestohlene Passwörter zu missbrauchen.

IT Security Check

IT Security Checkliste

IT Security Checkliste für Unternehmen zur Umsetzung einer umfassenden IT-Sicherheitsstrategie mit praktischen Tipps für alle relevanten Security Bereiche. Jetzt lesen!

Jetzt anfordern

TOTP wird häufig in Verbindung mit der Multi-Faktor-Authentifizierung verwendet. Dabei erhalten Nutzer den temporären Code beispielsweise über eine Smartphone-App, was eine zusätzliche Hürde für Cyberkriminelle darstellt. Denn ohne diesen zusätzlichen Faktor bleibt der Zugriff auf ein geschütztes Konto oder System verwehrt.

Anwendungsgebiete und Praxisbeispiele

TOTP wird in vielen digitalen Umgebungen eingesetzt, um eine zusätzliche Sicherheitsebene zu schaffen. Besonders in sensiblen Bereichen, in denen ein einfacher Passwortschutz nicht ausreicht, ist dieses Verfahren weit verbreitet. Zu diesen Bereichen gehören:

  •  Online-Banking und Finanzdienstleistungen
    Banken und Finanzinstitute nutzen TOTP zur Absicherung von Transaktionen und Anmeldungen. Durch das zeitlich begrenzte Passwort wird verhindert, dass abgefangene Zugangsdaten wiederverwendet werden können. Dies macht es Angreifern deutlich schwerer, sich unbefugt Zugriff auf Konten zu verschaffen.
  • Zugriff auf Unternehmensnetzwerke
    Viele Unternehmen setzen TOTP für den Schutz interner Systeme ein. Mitarbeitende müssen neben ihrem regulären Passwort ein dynamisch generiertes Einmalpasswort eingeben, um Zugriff auf sensible Daten zu erhalten. Dies reduziert das Risiko von Phishing-Angriffen und gestohlenen Zugangsdaten erheblich.
  • Authentifizierung bei Cloud-Diensten
    Anbieter wie Google, Microsoft oder Amazon ermöglichen ihren Nutzern, TOTP als zusätzliche Sicherheitsschicht zu aktivieren. Dadurch wird sichergestellt, dass selbst bei einem Passwortdiebstahl kein unautorisierter Zugriff auf ihr Konto erfolgen kann.

Sicherheitsaspekte der TOTP

TOTP bietet im Vergleich zu herkömmlichen Passwörtern eine deutlich erhöhte Sicherheit. Während reguläre Passwörter oft für längere Zeit unverändert bleiben, sind TOTP-Codes nur für einen sehr kurzen Zeitraum gültig. Selbst wenn ein Angreifer ein Passwort abfängt, bleibt ihm kaum Zeit, es zu nutzen, bevor es ungültig wird. Dadurch wird eine der größten Schwachstellen klassischer Passwörter eliminiert.

Ein weiterer Sicherheitsvorteil ist die Tatsache, dass TOTP unabhängig von einer Netzwerkverbindung funktioniert. Die Codes werden lokal auf dem Gerät des Nutzers erzeugt, sodass keine Gefahr besteht, dass sie während der Übertragung abgefangen werden. Zusätzlich minimiert die Nutzung von TOTP die Gefahr von Phishing-Angriffen. Denn selbst wenn ein Nutzer seine Zugangsdaten ungewollt auf einer gefälschten Website eingibt, reicht dies dem Angreifer nicht aus. Ohne den dazugehörigen zeitlich begrenzten Code bleibt der Zugriff auf das Konto verwehrt. Somit kann das TOTP eine zuverlässige Schutzschicht für vielfältige, sensible Daten bieten.

Webinar: ISMS pragmatisch einführen: Das Vorgehen im Überblick

Informationssicherheit bleibt ein entscheidendes Thema – Anforderungen durch gesetzliche Vorgaben wie NIS-2, Erwartungen Ihrer Kunden und prüferische Kontrollen machen eines klar: Ohne ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) ist nachhaltige Informationssicherheit schwer zu gewährleisten. Aber wie geht man die Einführung eines ISMS pragmatisch und zielgerichtet an?
Jetzt anmelden

Vergleich der TOTP mit anderen Authentifizierungsmethoden

Neben TOTP gibt es mit dem HMAC-based one-time password (HOTP) ein weiteres Verfahren zur Erzeugung von Einmalpasswörtern. Der größte Unterschied zwischen beiden Methoden liegt in der Art, wie die Passwörter generiert werden. Während TOTP auf einem Zeitstempel basiert und die generierten Codes nur für eine kurze Zeit gültig sind, arbeitet HOTP mit einem Zählermechanismus. Dabei wird nach jeder Nutzung ein Zähler erhöht, sodass das nächste Passwort auf einer fortlaufenden Sequenz basiert.

Diese Unterschiede führen dazu, dass HOTP mit einem sogenannten Validierungsfenster arbeitet, in dem mehrere Passwörter gleichzeitig akzeptiert werden können. Falls Nutzer und Server nicht mehr synchron sind, kann es zu Problemen bei der Anmeldung kommen. TOTP hingegen benötigt kein solches Fenster, da immer nur ein einziges gültiges Passwort existiert. Dadurch bietet es eine höhere Sicherheit, da Angreifer nicht von einem zeitlichen Spielraum profitieren können.

Ein weiterer Vorteil von TOTP gegenüber HOTP ist die einfache Integration in bestehende Systeme. Viele moderne Authentifizierungsdienste unterstützen bereits TOTP, da es als sicherer und flexibler gilt. Daher setzen zahlreiche Unternehmen, Banken und Online-Dienste heute vorrangig auf dieses Verfahren.

Best Practices

Um die Vorteile von TOTP bestmöglich auszunutzen, sollten Nutzer und Unternehmen einige bewährte Vorgehensweisen beachten. Dazu gehören beispielsweise:

  • Sichere Aufbewahrung des geheimen Schlüssels
    Der Schlüssel, der zur Generierung der TOTP-Codes verwendet wird, muss sicher gespeichert werden. Gerät er in falsche Hände, kann ein Angreifer eigene gültige Codes erzeugen.
  • Nutzung von Hardware-Token für besonders sensible Zugänge
    Während Smartphone-Apps eine praktische Lösung sind, bieten Hardware-Token eine zusätzliche Schutzschicht, da sie nicht durch Malware oder andere digitale Bedrohungen angegriffen werden können.
  • Regelmäßige Backups für Authenticator-Apps
    Wenn ein Smartphone gestohlen oder ersetzt wird, sollten Nutzer nicht den Zugang zu ihren gesicherten Accounts verlieren. Durch Backups der Authentifizierungsschlüssel kann verhindert werden, dass Konten durch solche Vorfälle unzugänglich werden.

Fazit

Insgesamt ist TOTP eine effektive Sicherheitslösung, die den Schutz digitaler Identitäten erheblich verbessert. Durch die zeitliche Begrenzung der Einmalpasswörter wird das Risiko von Passwortdiebstahl und Missbrauch deutlich reduziert. Besonders in Kombination mit Multi-Faktor-Authentifizierung bietet TOTP eine zuverlässige Absicherung für Online-Konten und Unternehmenssysteme. Damit trägt es maßgeblich dazu bei, moderne Authentifizierungsverfahren sicherer und widerstandsfähiger gegen Angriffe zu machen.

FAQ

Was ist ein TOTP?
Ein TOTP (Time-based One-time Password) ist ein zeitlich begrenzter Einmal-Code, der auf Basis eines geheimen Schlüssels und der aktuellen Uhrzeit erzeugt wird. Der Code ist nur für wenige Sekunden gültig und erhöht damit die Sicherheit bei der Anmeldung erheblich. TOTP ist ein weit verbreitetes Verfahren zur Zwei- oder Multi-Faktor-Authentifizierung.

In welchen Anwendungsfällen wird TOTP eingesetzt?
TOTP wird häufig beim Online-Banking, für den Zugriff auf Unternehmensnetzwerke sowie bei Cloud-Diensten wie Google oder Microsoft verwendet. Überall dort, wo sensible Daten geschützt werden müssen, bietet TOTP eine zusätzliche Sicherheitsstufe. Besonders bei Zugriffen aus der Ferne ist der Einsatz von TOTP sinnvoll.

Was sind bewährte Best Practices im Umgang mit TOTP?
Der geheime Schlüssel zur Code-Erzeugung sollte sicher gespeichert und niemals weitergegeben werden. Für besonders sensible Zugänge empfiehlt sich der Einsatz von Hardware-Token statt nur Apps. Zudem sollten Nutzer regelmäßige Backups ihrer Authenticator-App erstellen, um im Verlustfall den Zugriff nicht zu verlieren.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

SAP Security

5 Best Practices für die SAP Cyber Security

Wir zeigen 5 Best Practices, mit denen Sie Ihre SAP Cyber Security verbessern können. Schützen Sie Ihr System vor Angriffen von innen und außen.
Artikel lesen
IT Security

Abwehr von Cyberbedrohungen mit XDR

XDR
Cyberbedrohungenn auf Unternehmen sind keine Ausnahme. Abhilfe kann hier der Einsatz eines XDR (Extended Detection ans Response) schaffen.
#Informationssicherheit
Artikel lesen
SAP Security

2-Faktor-Authentifizierung: So wichtig wie nie

Aus dem privaten Umgang mit 2-Faktor-Authentifizierung kaum wegzudenken. Doch auch für Ihr SAP-System sollten Sie dieses sichere Login-Verfahren nutzen.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage